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出 厂 况 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
计 息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 荐 乏 , 远 远 不 能 满足 金融 商业 ,公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 ,而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 术 
计 息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
上 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
入 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 衣 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 ， 

OD 体系 完整 结构 合理 .内容 先 进 . 

适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

立体 配套 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 ， 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遗 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 
初 正式 列 人 普通 高 等 教育 十 一 五 国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


云 计 算 及 云 安 全 


芭 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安 全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 人 研制 ” 
的 教学 科 会 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 梧 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 , 死 服 困 难 , 历 时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信 息 安 全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 人 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 名 义 正 式 发 布 
《 商 等 学 校 信 息 安 全 专业 指导 性 专业 规范 兴 由 清华 大 学 出 版 社 正 式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 局 校 增 养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 ) .国家 发 展 和 改 早 委员 会 .教育 部 .科学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016J]4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 《关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改 羊 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空 间 安 全 相关 核心 诛 程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 诛 题 组 的 指导 下 ,局 动 六 网络 空 间 
安全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教 授 担任 编 委 会 主任 。 本 规划 丛书 基于 ”局 等 院 校 信息 安全 专业 系列 教材 ?坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获 得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”普通 高 等 教育 精 
喇 教 材 “* 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 ， 

“网 络 空间 安全 重点 规划 从 书 ” 将 根据 《4 高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 厂 本 ) 和 相关 教材 建设 诛 题 组 的 全 究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 帘 性 ,及 时 反映 教学 改 半 和 谍 程 建设 的 新 成 末 , 并 随 看 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 和 学科 专业 的 本 科 和 人 研究 生 教 材 建 设 .和 尝 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(Otup.tsinghua.edu.cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 
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没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安 全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 、 更 快 . 更 好 地 培养 网 络 安全 人 才 ,许多 学 校 都 加 大 投入 ,聘请 
优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 网 络 空间 安全 专业 人 才 的 关键 。 但 是 ,这 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 , 至 少 
包括 密码 学 .数学 .计算 机 .通信 工程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞杂 . 难 
以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 ,对 环境 和 
师资 要 求 也 很 高 。 

“ 云 计 算 及 云 安 全 ”是 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 ， | 
绍 云 计算 及 云 安全 基础 知识 。 本 书 涉及 的 知识 面 较 宽 , 共 分 为 12 章 。 第 ] 
章 为 云 计算 概述 ,第 2 章 介 绍 云 计 算 安 全 问题 与 安全 体系 ,第 3 章 介 绍 云 计 
nd a edb 
Hypervisor 安全 ,第 6 章 介绍 虚拟 化 安全 ,第 7 章 介 绍 操作 系统 安全 ,第 8 章 
介绍 应 用 安全 ,第 9 章 介 绍 数据 安全 ,第 10 章 介 绍 云 安全 服务 ,第 11 章 介 绍 
云 安 全 管理 平台 ,第 12 章 介 绍 一 个 典型 案例 。 

本 书 既 适合 作为 高 校 网 络 空间 安全 ,信息 安全 等 专业 的 教材 ,也 适合 网 
络 安全 全 究 人 员 作 为 网 络 空间 安全 领域 的 入 门 基 础 读物 。 随 着 新 拉 术 的 不 
盯 发 展 , 作 者 今后 将 不 断 更 新 本 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 疏 漏 和 不 妥 之 处 ,欢迎 读者 批评 指正 


2019 年 7 月 


第 工 章 


有 
1 .7 


1 


1].4 


1.6 
| 


第 2 章 


0 


人 


基于 部 署 方式 的 云 计 算 分 类 -. 
Lo 


1.2.3 混合 日 A 


云 计 算 的 交付 模型 ， 


1.3.1 [aaS eee ser ee er 


1.3.2 Paas 
1 .3.3 Saas 


1.4.5 ele 网 络 技术 ， 
云 计 算 的 特点 


i OC 
1.5.5 ”服务 可 测量 ee ene. 
Ta 


本 和 曹 小 续 
思考 题 


MA 
云 计 算 安 全 问题 


2 1.1] 云 讨 算 安 全 事件 和 
2 1.2 到 计算 的 滥用 esse 


TU 
坟 L 


Nn 


Ej l= je le 


i 


云 计算 及 云 安 


人 
2.2 云 计 算 面 临 的 安全 威 豚 pp 
有 
2.3 云 计 算 安 全 架构 及 关键 技术 .pp 
和 全 
2.4 云 计 算数 据 中 心安 全 建设 ppp 
2.4.] 下 人 


2 .5 本 章 草 :小结 - 


2.6 思考 三 eee 


第 3 音 ” 云 计算 安全 管理 方法 及 相关 模型 .pp 
3 1 云 计 符 安 全 标准 化 工作 概 六 .seeessessseesseeessaneossessseeseseaeesasesosssesassaosaos 
3.1.1 国际 云 计算 安全 标准 概 疯 pp 

3.1.2 国内 云 计 算 安 全 标准 概况 .ne 


3.2 ” 云 计 算 安 全 管理 工作 … 


3.3 云 计 算 安 全 评估 及 相关 模型 pp 


3.3.1 云 计算 安全 评 信 概述 
3.3.2 SSE-CMM 模型 


3.4 本 童 小 结 和 
3.5 ”思考 磺 eeee 和 er 


第 4 章 基础 设施 安全 ………………… a TT TE 


4.1 基础 设施 安全 概述 


4.3.2 Peete EO EOC OTOP 


4.4 ”本章 小 结 … 


本 


Sl I < 六 如 
上 


en NN 


A a 
oo 


TT 


C9 


1 
~  “ 刀 


CD 


第 5 章 


9.4 


0.9 


第 6 章 
6.] 


0.2 


ba 


0.4 


0.5 
0.0 


第 7 章 
7.] 
7.2 


Hypervisor 安全 
Hvypervisor 安全 概述 ee 
Hypervisor 安全 保障 :pp 
5.2.1 Hypervisor 安全 性 pp 
5.2.2 ”Hypervisor 防御 方法 pp 


安全 策略 …………… 


村 虚拟 机 间 流 量 安 全 防护 和 


人 


和 
虚拟 化 安全 问题 pe 
A 
a 
Bd 
= OT TE 
思考 题 .ee 


云 计 算 及 云 安 全 


i 


第 8 章 


80.2 


8.3 
8.4 


第 9 章 
9.] 
9.2 


3 
9.4 


yD 


9.6 


{2.1 
{2.2 
{sw 


Taal 
fede 
fe es 
/1.3.4 


主机 安全 
云 计算 身份 认证 
云 计 算 访问 控制 


虚拟 防火 场 


WebShell 防护 ，……………: 和 
思考 是 


应 用 安全 


GL: 
0 
8.1.3 


8B.2.1 
.4.2 
8.2.3 
8.2.4 


数据 安全 
数据 安全 问题 分 析 
数据 加 密 及 密 文 计算 


Ql] 
9.2.2 
3 本 请， 


数据 容 灾 与 备份 
其 他 数据 保护 措施 


=“ 
9 .4.2 
9.4.3 
9.4.4 


100 
101 
10] 
102 
102 


* 104 
NE 
是 
安全 问题 与 防范 措施 .pp 
Web 应 用 安全 和 
Web 应 用 安全 问题 概述 .pp 
Web 安全 扫描 与 防护 pe 
DDoS 攻击 防御 pp 
亲人 人 和 
本 音 小 结 po 
思考 题 


104 
104 
105 
105 
106 
106 
110 
LL 
【11o 
1 17 


ll 


* 119 
* 119 
. 120 
RO 
i 
+ 122 
. 124 
0 
CO 
a 
1 
OO 
思考 题 


120 
122 
122 


124 
124 
1 
126 
126 


* 12 


第 10 章 
10.] 
10.2 


103 


104 
105 


第 11 章 


11.1 
ll.2 
LL 
11.4 
11.5 


第 12 章 


12.] 


12.2 
UL 


目 孙 


Cg 


安全 功能 服务 化 身 疝 直面 币 和 者 汪汪 委 汪 宙 痢 测 硬 而 证 宣 重 痢 家 汪汪 省 汪 大 页 面 而 而 而 证 面 本 前 看 站 大 让 淹 生 二 而 二 而 面 击 看 曾 春蚕 而 淖 本 着 委 妆 而 硬 曾 面 而 面 面 本 要 而 面 要 站 痢 测 


10.3.1 用 户 隐 私 安 全 … 


10.3.2 epi 


10.3.3” 云 安全 服务 适 


J 
EE 0 OO 


owing da 
云 安 全 管理 平台 


云 安 全 管理 平台 功能 


Luis 思考 题 


去 安全 服务 存在 的 问题 .po 


128 
128 
129 
129 
130 
132 


3 
了 


133 


a 


134 


-135 
“ 135 
二 安全 管理 平台 如 和 
* 138 
WA 和 
“* 139 


典型 案例 .…………… EEE OE OE OE OT 


其 省 电子 政务 去 ee 


12.1.] 应 用 背景 和 
12.1.2 需求 分 析 和 


12.1.3 解决 方案 及 优势 pe 
* J]42 


本 革 小 结 … 
思考 题 


136 


139 


140 
140 
140 
140 
142 


142 


a 


由 


宛 工 乔 


云 计 和 蜡 和 概述 


1 .1 云 计 算 的 出 现 和 发 展 


1996 年 ,Compaq 公司 在 其 内 部 文件 中 首次 提 及 “ 云 计算 ”。 在 2006 年 圣 和 塞 搜索 引 
擎 大 会 (SES San Jose 2006) 上 ,“ 云 计算 ”的 概念 由 Google 公司 的 首席 执行 官 Eric 
Schmidt 正式 提出 。 其 实 早 在 20 世纪 60 年 代 , 计 算 机 科学 家 约翰 。 帮 卡 锡 (John 
McCarthy) 束 公开 提出 了 以 下 设想 :“ 如 来 我 倡导 的 计算 机 能 在 未 来 得 到 使 用 ,那么 有 一 
天 ,计算 也 可 能 像 电 话 一 样 成 为 公用 设施 .” 这 种 像 提供 水 、 电 、 天 然 气 等 基础 设施 服务 一 
样 , 将 计算 资源 以 服务 的 形式 通过 网 络 提 供给 用 户 的 理念 , 正 是 云 计 算 思 想 的 起 源 。 提 供 
资源 的 网 络 被 称 为 云 。 云 中 的 资源 对 于 使 用 者 来 说 是 可 以 无 限 扩 展 的 ,并 且 可 以 随时 获 
取 , 按 需 使 用 , 按 使 用 付费 ， 

21 世纪 初 , 随 厦 信息 化 的 普及 和 发 展 ,特别 是 Web 2.0 的 飞速 发 展 ,各 种 媒体 数据 呈 
现 指数 级 增长 ,传统 的 计算 模式 已 经 无 法 满足 大 数据 处 理 的 需求 ,各 种 问题 开始 涌现 。 企 
业 系 统 需 要 处 理 的 业务 迅速 增长 ,计算 存储、 网 络 便 件 等 成 为 企业 发 展 的 制约 因素 。 企 
业 为 了 满足 业务 需求 ,往往 需要 花 大 量 资 金 去 购买 基础 设施 , 除 此 之 外 还 需要 投入 大 量 人 次 
金 对 系统 进行 文 持 和 维护 。 万 外 ,为 了 满足 峰值 负载 性 能 需要 ,企业 往往 按照 最 大 使 用 负 
载 来 配置 IT 资源 ,然而 在 多 数 时 间 里 ,这 些 资 源 部 处 于 内置 状态 ,这 种 资源 的 过 度 配 置 
使 得 系统 的 使 用 效率 低下 ,造成 了 成 本 浪费 。 以 上 问题 推动 着 云 的 形成 和 整个 云 计算 市 
场 的 发 展 ,是 云 计算 发 展 的 重要 驱动 力 。 

随 痢 技术 的 不 断 发 展 , 虚 拟 化 技术 .网 格 计算 .集群 技 术 等 技术 逐渐 成 熟 ,. 再 加 上 
Google、 Amazon、Microsoft 等 I 工 巨头 的 大 力 推 动 , 为 实现 资源 和 计算 能 力 共 享 及 应 对 互 
联网 上 各 种 数据 高 速 增 长 趋势 , 云 计 算 应 运 而 生 。NIST(National Institute of Standards 
and Technology, 寺 国 国 家 标准 与 技术 俩 完 院 ) 对 云 计 算 的 定义 是 : 云 计 算是 一 种 模型 ， 
可 以 实现 随时 随地 ,便捷 地 、 按 需 地 从 可 配置 计算 资源 共享 池 中 获取 所 需 的 资源 (例如 网 
络 服务器 存储 、 应 用 程序 及 服务 ) ,资源 可 以 快速 供给 和 释放 ,使 管理 的 工作 量 和 服务 提 
供 者 的 介入 降低 至 最 少 。 云 计算 并 不 是 一 项 全 新 的 技术 , 它 是 并 行 计算 、 网 格 计算 .效用 计 
算 等 技术 的 发 展 , 它 利用 虚拟 化 、 分 布 式 计算 等 技术 将 IT 基础 设施 资源 集中 起 来 ,构建 先进 
的 数据 中 心 ,再 根据 用 户 的 需求 对 资源 进行 动态 分 配 , 从 而 实现 对 资源 的 整合 和 融 效 利用 。 

日 云 计算 的 概念 被 提出 以 来 ,世界 各 主要 国家 和 企业 都 积极 加 快 战略 部 旧 ,推动 云 计 
算 的 普及 应 用 。Google、IBM、Amazon 等 IT 巨头 纷纷 投入 到 云 计 算 的 研发 中 ,各 国政 府 
也 矿 巨 贰 发 展 云 计算 ,一些 发 达 国 家 政府 机 构 还 通过 积极 使 用 基于 云 计 算 的 系统 来 示范 ， 
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以 市 动 云 计 算 产 业 的 发 展 。 与 此 同时 , 云 计 算 在 发 展 过 程 中 也 面临 看 各 种 各 样 的 风险 和 
挑战 ,很 多 关键 性 拉 术 和 理论 问题 吸 需 解决 。 例 如 , 当 文 择 云 计算 的 集群 计算 系统 规 醒 增 
大 后 ,如 何 你 证 系统 的 可 徘 性 和 稳定 性 : 夯 外 , 云 计算 本 身 的 安全 问题 也 日 益 凸 显 ,安全 、 
可 信和 隐私 问题 成 了 云 计 算 普 及 的 主要 隐 碍 ,如 何 确保 用 户 数 据 的 安全 性 以 及 用 户 的 隐 
私 不 被 泄露 ,都 是 云 计算 目前 面临 的 重要 挑战 。 


1 2 基于 部 署 方式 的 云 计算 分 类 


基于 部 半 方 式 对 云 计 算 进 行 分 类 时 ,主要 是 根据 所 有 权 、 大 小 和 访问 方式 来 对 云 计算 
进行 分 类 的 。 云 类 型 确定 了 云 计 算 服 务 的 实施 范围 ,也 确定 了 适合 提供 条 种 服务 的 的 层 
基础 设施 。 一 般 来 说 , 云 计算 可 以 分 为 3 类 : 公有 云 . 私 有 云 .混合 云 。 


1.2.1 公有 云 


公有 云 是 历史 上 最 早 实现 的 云 计算 , 它 是 第 三 方 利 用 自身 基础 设施 来 为 用 户 提 供 服 
务 。 公 有 云 又 可 称 为 开放 云 , 它 通常 对 大 众 开 放 , 使 用 公有 云 的 用 户 无 须 拥 有 云 计算 资源 
即 可 直接 利用 网 络 访问 云 服务 。NIST 对 公有 云 的 定义 是 ; 一 种 用 于 公众 的 或 大 型 工业 
组 织 的 云 基础 设施 ,归属 于 提供 云 服务 的 运营 商 企业 。 公 有 云 原则 上 对 普通 大 众 开 放 ,这 
里 的 普通 大 众 指 的 是 个 人 用 户 或 企 事业 单位 。 

从 结构 上 看 ,公有 云 是 一 个 分 布 式 系统 ,由 一 个 或 多 个 连接 在 一 起 的 数据 中 心 构成 物 
理 基 础 设施 ,然后 在 其 上 部 署 ,实现 服务 并 交付 使 用 。 公 有 云 的 计算 模型 可 以 分 为 公有 云 
接 入 公有 云 平台 ,公有 云 管 理 3 个 部 分 。 用 户 是 通过 互联 网 获取 云 计 算 服 务 的 ,公有 云 
接 人 负责 对 接 人 的 企业 或 个 人 用 户 进行 身份 认证 ,判断 用 户 的 权限 和 服务 条 件 等 ,通过 审 
查 的 用 户 才能 进入 公有 云 平台 并 获得 相应 的 云 服 务 ; 公 有 云 平 台 负 责 组 织 协调 计算 资源 ， 
并 根据 用 户 的 需求 目 动 为 其 提供 云 服务 ;公有 云 管理 负责 对 公有 云 接 入 、 公 有 云 平 台 进 行 
管理 监控 ,确保 用 户 可 以 获得 优质 的 公有 云 服 务 。 

在 公有 云 中 ,基础 设施 都 归 云 服务 商 所 有 ,并 回 不 受 限 的 广大 用 户 群 体 开放 服务 ,用 
户 在 无 须 进 行 硬件 投资 的 情况 下 就 可 以 实现 资源 和 应 用 系统 的 快速 部 署 。 公 有 云 的 运 维 
管理 都 是 在 服务 提供 商 的 数据 中 心 实现 的 ,这 些 数据 中 心 可 以 是 在 地 理 上 分 散 的 ,它们 共 
同 分 担 着 用 户 任务 负载 ,根据 用 户 的 位 置 更 好 地 为 用 户 提 供 服 务 。 云 服务 提供 商 为 用 户 
提供 IT 软 人 硬件 基础 设施 的 共 吝 、 远 程 运 行动 态 许 可 每 服务 ,并 有 日 负责 其 拥有 的 云 及 IT 
资源 的 日 常 运 维和 管理 工作 ,这 些 管理 工作 包括 安全 管理 ,例如 记录 监控 以 及 控制 的 实 
施 等 。 用 户 通过 网 络 即 可 加 会 有 云 服务 提供 商 租 用 公共 基础 设施 或 订购 应 用 程序 服务 ， 
并 根据 实际 使 用 情况 付费 ,在 使 用 过 程 中 还 可 以 根据 实际 情况 动态 地 申请 或 释放 资源 。 
通过 使 用 公有 云 ,用户 不 需要 大 量 前 期 投资 即 可 满足 IT 需求 ,大 大 降低 了 IT 基础 设施 
的 建设 和 维护 成 本 。 

公有 云 的 特点 是 面向 多 用 户 , 它 文 持 大 量 用 户 使 用 ,每 个 用 户 都 拥有 一 个 与 其 他 用 户 
相互 隔离 的 虚拟 计算 环境 。 这 种 做 法 可 以 有 效 提高 资源 的 利用 率 , 降 低 IT 基础 设施 建 
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设 成 本 。 但 与 此 同时 ,多 个 租户 共 至 相同 的 基础 设施 又 会 引发 数据 和 隐私 的 安全 保护 问 
题 。 另 外 ,公有 云 的 服务 提供 商 控制 者 基础 设施 ,致使 用 户 失 去 了 对 租用 的 IT 基础 设施 
的 控制 权 , 这 也 会 市 来 一 定 的 安全 风险 。 目 前 公有 云 环境 中 的 网 络 攻击 增长 迅速 ,安全 问 
题 错 乏 复杂 ,公有 云 安 全 成 了 各 寞 关注 的 焦点 。 

公有 云 安全 主要 涉及 两 个 方面 : 一 个 是 云 平台 日 映 的 安全 , 它 主要 针对 的 是 公有 云 
环境 本 号 存在 的 安全 隐患 ,例如 云 环境 中 的 数据 安全 、 应 用 系统 与 服务 安全 、 用 户 信息 安 
全 等 ;为 一 个 是 公有 云 技 术 在 安全 领域 的 具体 应 用 , 即 通 过 利用 公有 云 的 优越 性 来 提升 安 
全 系统 的 服务 性 能 ,实现 统一 的 安全 监控 管理 。 


1.2.2 私有 云 


私有 云 也 可 以 称 为 内 部 云 , 它 是 东 个 组 织 利用 虚拟 化 等 技术 构建 的 ,专门 供 内 部 成 员 
或 合作 伙伴 使 用 的 私有 云 计 算 环 境 。NIST 对 私有 云 的 定义 是 : 一 种 专门 供 企 业内 部 使 
用 的 .由 企业 或 第 三 方 管理 的 、 位 于 企业 网 络 内 或 企业 网 络 外 的 云 基础 设施 。 

私有 云 是 一 个 虚拟 的 分 布 式 系统 , 它 通 币 依 顿 于 私有 的 IT 基础 设施 ,这 些 基础 设施 
可 能 是 数据 中 心 、 集 和 群 、 企 业 网 格 或 者 是 它们 的 组 合 。 私 有 云 能 将 企业 现 有 的 基础 设施 转 
到 云 中 ,让 企业 在 你 证 控制 .企业 治理 和 可 菲 性 的 前 提 下 使 用 云 计 算 框 慷 。 私 有 云 是 针对 
单个 组 织 设计 的 ,只 有 组 织 内 部 人 员 才 能 共 且 这些 计算 资源 和 基础 设施 , 即 私 有 云 只 为 茶 
个 组 织 提供 服务 ,其 他 企业 无 法 共有 至 这 些 资 源 。 在 私有 云 中 ,基础 设施 由 企业 日 己 购 头 并 
负 贡 维护 ,企业 目 映 拥有 对 云 基 础 设施 的 控制 和 管理 权 , 可 以 目 己 选择 更 安全 、 蝎 灵活 的 
数据 安全 策略 和 数据 备份 计划 ,充分 利用 各 种 安全 机 制 和 设备 来 保证 安全 。 

亏 公 有 云 相 比 ,私有 云 有 看 它 独 特 的 优势 。 私 有 云 最 大 的 优 反 是 具有 较 融 的 安全 性 
和 私密 性 , 它 可 以 构筑 在 防火 才 后 面 或 企 事 业 单 位 的 内 网 上 ,从 而 保证 数据 的 安全 。 其 
次 ,私有 云 的 服务 质量 有 保证 ,因为 私有 云 一 般 部 普 在 内 网 或 专 网 上 ,而 不 是 部 彰 在 茶 个 
距离 很 还 的 数据 中 心 , 因 此 当 用 户 对 其 进行 访问 时 能 够 获得 非常 稳定 的 服务 ,不 会 因为 网 
络 不 稳定 而 受到 影响 。 帮 外 ,私有 云 的 部 普 方 式 相 对 灵活 ,企业 拥有 私有 云 的 基础 设施 ， 
因此 可 以 目 己 控制 在 基础 设施 上 部 普 应 用 程序 的 方式 ,可 以 根据 企业 实际 情况 构建 满足 
个 性 化 需求 的 私有 云 。 

但 与 此 同时 ,私有 云 也 存在 春 一 定 的 缺陷 。 首 先 , 私 有 云 的 创建 成 本 较 高 ,可 以 说 中 
传统 的 IT 基础 设施 创建 成 本 基本 相同 ,因此 一 个 组 织 要 足够 庞大 ,才能 从 私有 云 这 种 云 
部 闭 中 获 利 ,一 般 情 次 下 使 用 私有 云 的 是 大 型 组 织 或 政府 组 织 。 其 次 ,私有 云 在 按 需 进 行 
弹性 扩展 方面 能 力 有 限 ,不 能 很 好 地 解决 峰值 负 人 向, 组 织 内 部 每 个 成 员 都 要 服从 企业 核心 
业务 的 融 峰 和 低 合 趋 抒 。 组 织 为 了 保证 私有 云 内 有 足够 的 资源 来 满足 企业 高 峰 期 的 需 
求 , 通 肖 需 要 根据 最 大 负载 时 的 使 用 情况 来 设计 私有 云 , 这 会 让 很 大 一 部 分 资源 经 第 人 处 于 
用 置 状 态 , 从 而 导致 闯 源 的 利用 率 低 下 。 


1.2.3 混合 云 


混合 云 通 篆 由 公有 云 和 私有 云 组 成 ,其 模型 如 图 1-1 所 示 , 它 支持 客户 应 用 在 云 间 进 
行 数 据 共 训 、 目 动 部 蓝 .灵活 迁移 和 按 需 扩展 。 绝 大 多 数 的 混合 云 是 由 公有 云 和 私有 云 组 
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合 而 成 的 ,融合 了 公有 云 和 私 有 云 的 优 缺 后, 混合 云 也 可 以 理解 为 继承 了 一 个 或 多 个 公有 
云 的 附加 服务 或 资源 的 私有 云 。NIST 对 混合 云 的 定义 是 : 两 个 或 两 个 以 上 云 的 结合 ,每 
个 云 都 作为 一 个 单独 实体 存在 ,但 又 通过 可 以 提供 数据 和 应 用 移植 性 的 标准 或 专 有 技术 
(例如 用 于 在 云 之 间 进 行 负载 均衡 的 云 爆发 ) 顷 定 在 一 起 。 


云 服 务 企业 用 户 
图 1-1 由 公有 云 和 私有 云 组 成 的 混合 云 染 构 


混合 云 近 几 年 发 展 迅 速 , 它 莱 磊 了 数据 的 安全 性 和 资源 的 共 至 性 ,达到 了 省 钱 又 安全 
的 效果 ,因此 受到 了 越 来 越 多 企业 的 青睐 。 大 多 数 温 合 云 是 公有 云 和 私有 云 的 结合 ,典型 
的 混合 云 部 昔 模 式 是 用 户 在 私有 云 的 基础 上 进行 扩展 ,利用 公有 云 服 务 资 源 来 扩展 私有 
云 的 资源 施 围 , 它 既 具有 公有 云 可 扩展 、 市 约 成 本 的 优势 ,也 有 具有 私有 云 安 全 可 探 的 优势 。 

混合 云 部 署 模 式 下 的 企业 云 一 般 由 内 部 私有 云 和 外 部 公有 云 构 成 , 它 能 利用 现 有 的 
便 件 和 软件 基础 设施 保护 企业 关键 的 敏感 信息 ,并 且 可 以 让 企业 按 需 上 月 动 扩 展 和 缩减 资 
源 , 这 样 , 企 业 就 可 以 在 保证 数据 安全 的 前 提 下 ,在 业务 扩展 时 按 需 调用 外 部 资源 ,于 在 不 
需要 的 时 候 将 其 释放 。 在 混合 云 模式 下 ,企业 可 以 将 敏感 .关键 的 云 服务 部 署 到 私有 云 
上 ,将 不 那么 敏感 的 云 服 务 部 署 到 公有 云 上 ,这 样 可 以 同时 满足 安全 性 和 灵活 可 扩展 性 。 

混合 云 的 织 构 有 很 大 的 弹性 。 一 方面 ,混合 云 具 备 动态 分 配 的 能 力 , 即 按 需 获取 或 释 
放 虚 拟 机 ,增强 分 布 式 系统 功能 的 能 力 , 因 此 可 以 充分 利用 外 部 资源 来 满足 超 负 倚 的 需 
求 ;万 一 方面 ,混合 云 的 标志 性 特征 是 文 持 云 爆发 。 所 谓 云 爆发 , 指 的 是 当 需 求 最 旺 司 的 
时 候 , 云 仍 能 在 不 牺牲 安全 性 的 前 提 下 实现 应 用 的 动态 部 署 。 

但 与 此 同时 ,混合 云 也 面临 者 很 多 的 挑战 。 首 先是 安全 方面 的 问题 : 如 何 确保 本 地 
数据 中 心 资 源 的 安全 ;如 何 确保 会 有 云 迁 移 的 数据 和 应 用 的 安全 ;如 何 确保 在 多 家 云 服 务 
提供 商 的 云 上 存储 的 数据 是 安全 的 ;等 等 。 其 次 ,混合 云 在 管理 方面 也 面临 厦 很 多 问题 : 
混合 云 中 的 私有 云 和 公有 云 这 可 能 是 两 种 不 同 的 IT 织 构 和 环境 ,应 该 如 何 管理 好 不 同 
的 云 环 境 ;混合 云 中 的 里 份 认证 和 授权 管理 等 往往 需要 器 越 私 有 云 和 公有 云 这 两 个 不 同 
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的 环境 ,这 种 情况 应 该 如 何 应 对 ;等 等 。 
1 3 云 计 算 的 交付 模型 


云 计 算 的 交付 模型 指 的 是 云 服务 提供 商 提 供 的 具体 的 已 经 打包 的 IT 资源 组 合 。 
通常 来 说 , 云 计算 的 交付 模型 可 以 分 3 种 : 基础 设施 即 服务 (Infrastructure as a Service， 
IaaS) .平台 即 服务 (Platform as a Service, PaaS) .软件 即 服务 (Software as a Service， 
SaaS)。 

由 Garnter 机 构 提 出 的 届 任 共 担 模型 如 图 1-2 所 示 。 其 中 ,laaS 是 最 基础 .最 接近 云 
计算 基本 定义 的 服务 。 云 服务 提供 商 将 云 基 础 设施 作为 服务 租 给 用 户 ,为 用 户 提供 计算 、 
存储 网 络 等 基础 设施 资源 。 用 户 可 在 云 基础 设施 上 配置 和 运行 操作 系统 和 应 用 软件 等 . 
PaaS 是 经 过 云 服 务 提供 商 封 委 的 IT 唤 源 。 用 户 不 需要 管理 网 络 .服务 器 .操作 系统 等 云 
基础 设施 , 仅 需 管理 部 署 在 云 上 的 应 用 以 及 配置 应 用 程序 的 主机 环境 。Saas 为 用 户 提 供 
运行 在 云 基础 设施 上 的 应 用 程序 。 用 户 通 过 Web 浏览 需 或 瘦 客 户 站 访问 应 用 。 


1aas Paas Saas 
服务 配置 服务 配置 服务 配置 
a 数据 数据 数据 
应 用 六 用 
操作 系统 操作 系统 操作 系统 
虚拟 化 虚拟 化 虚拟 化 
网 络 网 络 网 络 
基础 设施 基础 设施 基础 设施 
物理 设备 物理 设备 物理 设备 


图 1-2 ”责任 共 担 模型 
接 下 来 对 这 3 种 云 计 算 交 付 模型 逐一 进行 介绍 。 
1.3.1 IaaS 


IaaS 是 一 种 根据 需求 将 磁盘 .网络 .CPU 等 原始 虚拟 计算 基础 设施 作为 服务 区 付 给 
用 户 的 模型 , 它 是 最 底层 的 云 服 务 , 用 户 通 过 云 服务 的 接口 和 工具 就 可 以 对 这 些 IT 资源 
进行 访问 和 管理 。NIST 对 Iaas 的 定义 是 : 将 计算 、 存 储 、 网 络 等 基础 IT 资源 以 服务 方 
式 提供 给 用 户 ,基于 这 些 资 源 , 用 户 可 以 部 蜀 和 运行 包括 操作 系统 在 内 的 各 种 软件 ,而 无 
须 管 理 或 控制 砍 层 云 基础 设施 。 此 外 ,用 户 还 可 以 按 需 对 CPU、 内 存 、 人 刹 盘 、 网 络 和 安全 
组 件 等 进行 灵活 配置 。 

在 没有 Iaas 的 情况 下 ,企业 往往 在 计算 基础 设施 上 和 需要 大 量 的 前 期 资金 投入 ,这 些 
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投资 包括 专用 人 硬件 和 软件 的 购买 和 租赁 .基础 设施 的 维护 和 折旧 、 雇 佣 专 业 技 术 人 员 等 ， 
企业 在 计算 基础 设施 上 的 投入 占据 了 企业 的 大 部 分 开销 ,而 IaaS 的 出 现 可 以 让 企业 省 下 

IaaS 服务 提供 商 根据 用 户 需求 ,以 虚拟 机 实例 的 形式 将 虚拟 化 的 存储 、 处理 .计算 服 
务 .基础 设施 资源 等 交付 给 用 户 ,用 户 通过 IaaS 服务 提供 商 提 供 的 基础 设施 访问 接口 就 
可 以 访问 和 使 用 这 些 资 源 , 并 根据 实际 使 用 情况 付费 。Iaas 服务 提供 商 通 第 利用 虚拟 化 
技术 ,将 一 台 物 理 设备 划分 为 多 台 虚 拟 设 备 提 供给 用 户 , 各 个 虚拟 设备 的 资源 和 数据 相互 
隔离 ,这 样 可 以 让 多 个 虚拟 设备 共享 一 台 物 理 设备 的 物理 资源 ,从 而 充分 复 用 物理 设备 的 
计算 资源 ,提高 资源 的 利用 率 。 男 外 ,IaaS 有 着 良好 的 扩展 性 ,能 根据 用 户 需 求 弹性 地 扩 
容 , 因 此 用 户 能 利用 IaaS 方便 地 构建 动态 可 扩展 的 计算 机 系统 。lIaaS 提供 的 虚拟 化 资源 
通常 是 未 配置 好 的 ,所 以 用 户 宕 要 上 日 己 控 制 克 层 ,配置 裸 的 基础 设施 , 安 沪 .省 理 和 控制 上 所 
需 的 软件 ,实现 基础 设施 的 使 用 逻辑 。 

比较 典型 的 IaaS 云 服 务 是 Amazon 公司 的 弹性 云 计 算 (Elastic Compute Cloud,， 
EC2), 它 提供 了 大 量 底层 硬件 资源 的 服务 接口 ,用 户 可 在 几乎 不 受 限 的 情况 下 对 资源 进 
行 灵 活 的 配置 或 按 需 进行 动态 增 减 。 


1.3.2 PaaS 


PaaS 服务 提供 商 向 用 户 提供 的 是 一 个 配置 完成 且 能 够 部 署 可 执行 代码 的 云 计 算 环 
境 开 发 平台 ,用 户 通 过 Web 浏览 亏 就 可 以 访问 这 个 云 中 的 虚拟 开发 平台 。 另 外 ,Paas 服 
务 提供 商 还 会 在 用 户 需 要 的 时 候 提 供 底 层 的 基础 设施 .中 间 件 和 其 他 所 需 的 IT 资源 。 
用 户 可 以 将 目 己 开发 的 代码 或 应 用 程序 部 署 到 这 个 开发 平台 上 ,并 利用 该 平台 提供 的 计 
算 、 存 储 和 网 络 等 资源 让 它们 运行 。NIST 对 PaaS 的 定义 是 :“ 用 户 可 利用 云 服 务 商 支持 
的 编程 语言 和 工具 来 开发 应 用 ,并 将 开发 出 的 应 用 部 普 到 云 中 ,只 需要 负责 应 用 环境 配置 
和 应 用 部 普 ,而 不 需要 管理 确 层 基础 设施 。” 

PaaS 服务 提供 商 为 应 用 开发 提供 了 Web 应 用 软件 开发 生命 周期 (Software Deve- 
lopment Life Cycle,SDLC) 的 全 程 支 持 。PaaS 可 用 于 疹 到 闪 软 件 开 发 测试 和 部 署 , 也 可 
用 于 专用 软件 开发 。PaaS 为 用 户 提供 了 一 个 低 成 本 的 应 用 设计 和 发 布 途径 ,用 户 可 以 利 
用 PaaS 提供 的 云 计算 开发 平台 来 进行 软件 的 开发 .测试 和 部 署 ,避免 了 大 量 购置 应 用 开 
发 的 相关 资源 的 环 太 , 并 且 可 以 轻松 地 将 开发 的 应 用 发 布 或 部 普 到 云 上 。， 

PaaS 利用 一 个 核心 中 间 件 平台 来 负 员 创建 用 于 部 午 和 执行 应 用 程序 的 抽象 环境 ,对 
硬件 和 操作 系统 进行 了 抽象 ,为 用 户 提 供 了 软件 部 署 平台 。 用 户 不 需要 关注 底层 ,只 需要 
利用 服务 的 API(Application Programming Interface, 应 用 程序 编程 接口 ) 和 库 , 专 注 于 
应 用 程序 开发 中 的 业务 逻辑 。Paas 回 开 发 者 提供 的 服务 包括 虚拟 开发 环境 、 建 立 于 开发 
者 需求 之 上 的 可 选 应 用 标准 、 为 虚拟 开发 环境 配置 的 工具 包 、 应 用 程序 的 维护 和 版 本 升 
级 、 系 统 间 的 集成 为 公共 应 用 程序 开发 者 提供 的 现成 发 布 渠 道 等 。 

具有 代表 性 的 PaaS 云 服 务 有 Google App Engine(GAE), 它 为 Python 语言 和 Java 
语言 用 户 提 供 了 一 套 方 便 可 扩展 应 用 程序 开发 的 API, 用 户 只 需 通过 GAE 提供 的 接口 
上 传 并 运行 应 用 程序 代 但 ,无须 关注 服务 兰 的 运行 状态 。 
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1.3.3 Saas 


SaaS 服务 提供 商 通 过 Web 将 应 用 程序 和 服务 交付 给 用 户 ,用 户 只 需 通 过 客户 病 或 
者 浏览 右 等 获得 这 些 服务 , 而 不 需要 关心 应 用 的 开发 . 部署、 管理 等 技术 问题 。NIST 对 
SaaS 的 定义 是 :“ 为 客户 提供 一 种 能 力 ,使 客户 能 够 使 用 运行 在 云 基 础 设施 上 的 .由 服务 
提供 商 所 提供 的 应 用 程序 。 这 些 应 用 (如 Web 电子 邮件 ) 可 以 在 各 种 客户 端 设备 上 通过 
一 个 客户 并 接 口 ( 如 Web 浏览 句 ) 被 访问 。 用 户 无 须 管 理 和 控制 底层 的 云 基础 设施 (例如 
网 络 .服务 絮 操作 系统 、 存 储 ) 以 及 个 别 应 用 程序 的 性 能 ,一 些 较为 有 限 的 ,与 用 户 相 关 
的 .应 用 程序 配置 设 定 除外 。?” 

SaaS 服务 提供 商 通 凋 将 应 用 部 署 到 日 己 的 服务 器 上 ,并 且 负 责 对 应 用 软件 的 更 新 补 
丁 管 理 进行 控制 ,用 户 则 通过 Web 浏览 上 絮 等 因特网 设备 来 访问 使 用 应 用 程序 。 一 个 完整 
的 SaaS 服务 应 该 提供 一 个 功能 齐全 的 应 用 套件 ,在 一 个 共享 的 基础 设施 上 作为 一 个 应 用 
程序 实例 运行 ,为 多 个 用 户 提 供 服 务 ,并 且 这 些 用 户 的 交互 彼此 独立 。SaaS 模型 让 用 户 
不 必 做 任何 软件 的 开发 安装、 配置 和 维护 ,就 可 以 使 用 云 服务 提供 商 提 供 的 应 用 服务 ,在 
一 定 程度 上 减少 用 户 在 信息 化 设备 上 的 投入 。 男 外 ,SaaS 与 传统 的 应 用 服务 提供 方式 有 
看 明显 的 不 同 。 传 统 的 软件 通常 采用 预 冯 付费 用 的 方式 进行 购买 和 安 沪 , 即 应 用 程序 服 
务 提 供 商 通常 是 在 用 户 购 买 软件 并 取得 授权 时 ,按照 软件 副本 或 许可 证 对 用 户 进行 一 次 
性 收费 。 而 SaaS 采用 的 是 按 实 际 使 用 付费 的 模式 , 即 指 某 些 通过 SaaS 模型 交付 给 用 户 
的 软件 是 根据 服务 使 用 情况 和 使 用 持续 时 间 来 回 用 户 收 取 费 用 的 ,用 户 通过 运 萌 锅 用 模 
式 ( 即 按 使 用 付费 或 按 认 购 协 议 付 费 ) 来 租赁 软件 的 使 用 权 。 

SaaS 应 用 通常 是 面 铝 因特网 的 ,因此 它 有 者 很 好 的 执行 效率 和 啊 应 时 间 , 有 助 于 应 
用 升级 和 漏洞 修复 。 另 外 ,Saas 服务 提供 商 可 以 更 方便 地 对 软件 进行 控制 ,SaaS 模型 可 
以 限制 非 授 权 的 软件 副本 复制 和 分 发 , 文 持 在 线 软件 升级 和 补丁 管理 控制 。 但 由 于 SaaS 
及 用 多 租户 架构 , 即 多 个 租户 的 信息 是 由 系统 统一 进行 省 理 的 ,一 旦 软件 系统 出 现 故 障 ， 
租户 的 数据 信息 将 可 能 被 其 他 租户 非法 访问 。 除 此 之 外 ,由 于 租户 的 数据 是 存储 在 云 中 
的 ,SaaS 管理 员 可 能 会 非法 访问 和 修改 租户 的 数据 。 

比较 典型 的 SaaS 服务 是 Google 公司 的 Google Doc, 它 是 一 球 回 用 户 提 供 文 学 处理 
服务 的 应 用 ,用 户 无 须 部 署 ,只 需 通 过 浏览 句 方 式 就 可 以 调用 该 应 用 。 


14 ” 云 计算 关键 技术 


云 计算 由 一 些 关键 技术 组 件 支撑 ,这 些 技术 的 不 断 完善 和 发 展 为 实现 云 计算 创造 了 
有 利 的 条 件 , 云 计算 通过 这 些 关键 技术 实现 其 主要 特点 和 功能 优势 。 云 计算 中 的 关键 技 
术 主要 有 虚拟 化 技术 、 多 租户 技术 .并 行 计算 技 术 、 分 布 式 存储 技术 、 软 件 定义 网 络 技术 、 
Web 技术 、 网 格 计算 .效用 计算 等 ,这 些 技术 在 云 计算 出 现 前 就 已 经 存在 并 且 比 较 成 熟 
了 。 下 面 简单 地 对 其 中 几 个 技术 进行 介绍 。 


1.4.1 虚拟 化 扩 术 


虚拟 化 是 云 计算 的 核心 文 撑 技术 , 它 指 的 是 将 便 件 、 软 件 .操作 系统 、 存 伴 和 网 络 等 诺 
层 实体 资源 抽象 化 ,将 物理 IT 资源 转换 为 虚拟 IT 资源 ,并 对 资源 进行 统一 管理 调配 的 
i 

虚拟 化 通过 抽象 将 一 些 计算 机 的 基本 构件 转化 为 虚拟 化 对 象 ,并 利用 成 熟 的 管理 模 
式 构 建 虚拟 化 平台 ,用 以 实现 空间 扩展 、 数 据 移 植 、 备 份 等 功能 。 虚 拟 化 对 物理 资源 等 底 
层 架 构 进行 抽象 ,使 得 底层 硬件 设备 之 间 的 差异 和 兼容 性 对 上 层 应 用 透明 它 隐 减 了 底 
层 的 具体 实现 方法 ,并 为 用 户 提 供 访 问 同 一 类 型 资源 的 统一 访问 方式 ,因此 用 户 可 以 在 无 
须 理 会 底层 具体 实现 的 情况 下 方便 地 使 用 各 种 IT 资源 , 云 平台 也 可 以 方便 地 对 的 层 的 
各 种 IT 资源 进行 统一 管理 。 虚 拟 化 可 以 将 一 个 物理 IT 资源 (例如 一 台 完 整 的 物理 主 
机 ) 分 割 成 多 个 独立 分 区 ,然后 将 每 个 分 区 按照 需求 模拟 为 一 台 完 整 的 虚拟 主机 。 虚 拟 化 
的 实质 是 通过 中 间 层 次 实现 计算 机 的 管理 和 再 分 配 ， 从 而 实现 资源 利用 的 最 大 化 ,; 这 样 可 
以 使 得 一 个 物理 IT 资源 提供 多 个 虚拟 映像 ,在 一 个 物理 平台 上 同时 运行 多 个 虚拟 IT 资 
源 , 让 多 个 用 户 在 彼此 独立 \、 互 不 影响 的 前 提 下 共享 云 平台 的 底层 处 理 能 力 ,从 而 有 效 地 
提高 资源 的 利用 率 。 

根据 虚拟 化 对 象 的 不 同 , 虚 拟 化 技术 可 分 为 不 同 的 类 型 ,例如 服务 怖 虚拟 化 、 存 储 虚 
拟 化 .网 络 虚 拟 化 、 数据库 虚拟 化 .应 用 软件 虚拟 化 等 。 比 较 篆 见 的 虚拟 化 技术 是 服务 着 
虚拟 化 , 它 也 是 Iaas 的 核心 技术 。 服 务 器 虚拟 化 将 一 台 物 理 服 务 右 资源 抽象 成 硅 干 独立 
的 虚拟 服务 需 , 并 将 CPU、 内 存 、1/O 设备 等 物理 资源 转化 为 可 以 统一 管理 的 逻辑 资源 ， 
为 抽象 出 来 的 每 个 虚拟 服务 器 提供 支持 。 运 行 在 虚拟 服务 器 上 的 客户 操作 系统 和 应 用 软 
件 并 不 会 感知 到 虚拟 化 的 过 程 , 在 虚拟 服务 器 上 运行 与 在 物理 服务 器 上 运行 的 效果 基本 
上 是 一 样 的 。 服 务 需 虚拟 化 是 在 少量 物理 服务 硕 上 建立 大 量 的 虚拟 机 ,与 建立 大 量 物 理 
服务 怖 相 比 , 它 可 以 大 大 节省 安装 的 费用 和 时 间 ,利用 率 也 有 大 幅 提 升 。 

总 体 而 言 ,虚拟 化 将 各 种 异 构 的 硬件 资源 转换 成 灵活 、 统 一 的 虚拟 资源 ,为 上 层 云 平 
台 提 供 相 应 支撑 ,在 对 云 计 算 的 发 展 起 到 了 很 大 的 推进 作用 。 虚 拟 化 可 以 根据 不 同 的 需 
求 , 将 有 限 的 固定 资源 进行 重新 规划 动态 分 配 、 灵活 调度 ,以 达到 IT 资源 的 最 大 利用 
率 , 从 而 大 大 节省 成 本 。 虚 拟 化 对 IT 硬件 进行 仿真 ,将 其 标准 化 为 基于 软件 的 版 本 , 消 
除了 过 去 软 硬 件 之 间 的 相互 依赖 ,解决 了 软 人 硬件 不 兼容 的 问题 ,让 虚拟 IT 资源 的 复制 、 
扩展 .迁移 变 得 很 容易 实现 。 


1.4.2 ”多 租户 技术 


多 租户 指 的 是 一 个 单独 的 实例 可 以 同时 为 多 个 组 织 或 用 户 提供 服务 , 即 大 量 的 租户 
能 够 共享 同一 个 资源 池 中 的 软 硬 件 资源 ,在 逻辑 上 同时 访问 同一 个 实例 ,但 每 个 租户 都 不 
会 意识 到 还 有 别 的 租户 正在 使 用 该 实例 。 多 租户 技术 保证 每 个 租户 都 能 按 需 使 用 ,都 能 
对 资源 进行 个 性 化 配置 ,并 且 每 个 租户 都 会 分 配 到 一 个 与 其 他 虚拟 实例 互 不 干扰 的 虚拟 
实例 ,而 不 会 访问 到 不 属于 自己 的 数据 和 配置 信息 

多 租户 技术 通常 用 于 云 计 算 的 应 用 层 , 它 能 够 实现 资源 的 高 效 利 用 。 多 租户 应 用 架 
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构 比 较 复 森 , 它 要 支持 多 用 户 对 包括 入 口 .数据 模式 .中 间 件 ,数据库 等 各 种 构件 的 共 孕 ， 
并 且 还 要 保持 安全 等 级 来 隔离 不 同 租户 的 控 作 环 境 , 因 此 在 设计 开发 的 时 候 需 要 考虑 数 
据 和 配置 信息 的 虚拟 分 区 。 多 租户 应 用 能 根据 现 有 租户 数量 的 增长 或 使 用 需求 的 增长 来 
扩展 应 用 ,其 中 的 构件 可 以 在 不 对 租 己 造成 负面 影 啊 的 前 提 下 进行 同步 升级 , 云 服 务 提供 
商 只 要 对 构件 进行 一 次 升级 ,所 有 租户 的 环境 驶 都 会 生效 ,因此 多 租户 技术 可 以 让 云 服务 
提供 商 的 管理 工作 更 加 方便 .高效 。 多 租户 技术 让 多 个 用 户 共 用 同一 个 IT 资源 ,可 以 让 
IT 基础 设施 得 到 充分 有 效 的 利用 ,减少 了 能 耗 。 对 云 服务 提供 商 来 说 ,多 租户 可 以 有 效 
地 降低 软 便 件 基 础 设施 的 投入 成 本 ;对 云 服 务 用 户 来 说 ,IT 资源 的 使 用 费 可 以 由 多 个 租 
户 一 起 分 扒 , 从 而 降低 了 使 用 费用 。 


1.4.3 并行 计 算 技 术 


海量 数据 处 理 是 云 计算 技术 的 特点 之 一 。 海 量 数据 是 数据 规模 达到 太 字 节 (TB) 或 
拍 字 市 (PB) 级 的 大 规模 数据 。 单 台 计 算 机 很 难 在 性 能 和 可 徘 性 上 满足 海量 数据 的 处 理 
要 求 , 而 并 行 计算 技术 突破 了 传统 计算 机 单独 作业 的 模式 ,让 多 个 处 理 单 元 以 及 多 个 网 络 
中 的 计算 节点 协同 工作 ,从 而 解决 了 这 个 问题 ,是 提高 海量 数据 处 理 效 率 的 常用 方法 。 

并 行 计 算 的 实现 有 两 个 层次 : 第 一 个 层次 是 单个 三 点 内 部 的 多 个 核 、 多 个 CPU 并 行 
计算 ,多 核 . 多 CPU 已 经 是 主机 的 发 展 趋势 ,这 种 做 法 可 以 很 有 效 地 提高 主机 性 能 ;第 二 
个 层次 是 集群 内 部 蔬 点 间 的 并 行 计 算 。 对 于 云 计算 而 言 ,并行 计算 更 强 雷 的 是 集群 节操 
间 的 并 行 ,集群 中 的 厄 点 一 般 通 过 网 络 进行 连接 ,在 市 宽 足 够 的 前 提 下 ,各 太 点 并 不 受 地 
域 和 空间 的 限制 ,因此 在 很 多 时 候 云 计算 中 的 并 行 计算 又 可 称 为 分 布 式 并 行 计算 。 分 布 
式 并 行 计算 将 计算 任务 分 解 成 多 个 子 任务 ,并 将 它们 分 配给 主机 集群 中 的 多 个 主机 市 点 ， 
让 多 个 节点 上 的 子 任务 协调 并 行 运 行 。 在 云 计 算 环 境 下 的 分 布 式 并 行 计算 模型 属于 面向 
互联 网 数据 密集 型 应 用 的 并 行 编程 模型 , 它 文 持 高 耕 吐 量 的 分 布 式 批 处 理 计算 任务 。 该 
模型 把 海量 数据 分 布 到 主机 集群 中 的 多 个 节点 上 ,将 计算 并 行 化 ,让 多 台 主 机 并 行 执行 作 
业 , 利 用 多 人 台 主 机 的 计算 质 源 加 快 效 据 的 处 理 速 度 。 

目前 比较 普遍 的 云 计算 分 布 式 并 行 计算 模型 是 Google 公司 提出 的 MapReduce, 这 
是 一 个 基于 集群 的 高 性 能 并 行 计 算 平 台 , 通 过 映射 (map) 和 归 约 (reduce) 这 两 个 步骤 来 
并 行 处 理 大 规模 的 数据 集 。MapReduce 在 操作 过 程 中 ,会 先 将 海量 数据 分 成 才干 个 数据 
块 ;接着 映射 步骤 会 负责 按照 预定 义 的 规则 对 每 个 分 割 的 数据 块 进行 处 理 ,生成 中 间 结 
采 , 并 对 中 间 结 有 果 进 行 归 类 ;最 后 归 约 步骤 负责 对 上 映射 归 类 后 的 中 间 结 采 进 行 归 并 处 理 ， 
生成 最 终结 果 。MapReduce 会 对 任务 的 执行 状态 进行 检测 ,重新 执行 异 第 状态 任务 ， 
此 程序 员 不 需要 考虑 任务 失败 的 问题 。 并 行 计 算 能 够 有 效 地 提 局 云 计算 的 计算 处 理 速 

1.4.4 分布 式 存 储 拉 术 

云 计算 存储 和 处 理 的 数据 量 和 数据 规模 都 非常 大 ,因此 它 在 可 扩展 性 、 容 错 性 、 成 本 
控制 等 方面 都 面临 着 严峻 的 挑战 。 具 体 来 说 , 云 计算 数据 中 心 的 市 点 规模 通常 是 10 万 级 
的 ,其 上 存储 的 数据 更 是 达到 担 字 市 (PB) 级 别 , 数 据 中 心 的 规模 和 存储 的 数据 还 会 随 看 
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应 用 的 拓展 而 快速 增长 ,因此 云 环 境 下 的 存储 要 保证 数据 中 心 网 络 以 及 数据 组 织 结 构 具 
备 民 好 可 扩展 性 ,以 满足 应 用 扩展 的 需求 。 其 次 , 云 环 境 下 庞大 的 效 据 规模 提高 了 数据 失 
效 的 概率 ,一 旦 数据 失效 ,将 会 市 来 巨大 的 损失 ,因此 需要 提高 物理 拓扑 结构 和 数据 的 容 
错 性 。 男 外 ,由 于 数据 规模 巨大 , 云 环 境 的 能 耗 开 销 也 非常 大 ,如 何 有 效 地 降低 能 耗 以 降 
低 成 本 是 一 个 严峻 的 问题 。 分 布 式 存储 技术 是 云 计 算 的 基础 ,其 人 研究 重点 是 数据 中 心 如 
何 存储 .组织 和 管理 数据 ,能 帮助 云 计 算 有 效 地 解决 上 述 问 题 。 

下 面 以 GFSCGoogle 文件 系统 ) 为 例 介 绍 分布 式 存储 技术 具体 是 如 何 实 现 的 。GFS 
是 一 个 能 提供 海量 数据 存储 服务 的 可 扩展 分 布 式 文件 系统 ,一般 由 一 个 主 服务 大 和 多 个 
块 服务 硕 组 成 。 在 进行 数据 存储 的 时 候 , 客 户 端 首 先 将 数据 拆 分 成 春 干 个 规定 大 小 的 数 
据 块 ,然后 将 这 些 数据 块 发 往 主 服 务 右 。 主 服务 器 收 到 数据 块 存储 请 求 和 数据 块 本 号 后 ， 
会 确定 数据 块 对 应 的 块 服 务 顺 ,并 通知 客户 闫 。 客 户 闪 根 据 收 到 的 指示 将 数据 块 存放 到 
对 应 的 数据 服务 硕 。 为 了 确保 数据 的 可 笔 性 ,分 布 式 系统 采用 了 效 据 容错 技术 。 该 技术 
是 通过 元 余人 存储 的 方式 实现 的 , 即 每 个 效 据 块 都 在 多 台 不 同 的 数据 服务 硕 上 存放 者 副本 ， 
这 样 能 在 发 生 故 障 的 时 候 根据 元 余 副 本 恢复 数据 。 较 为 币 见 的 数据 容错 技术 有 两 种 ,分 
别 是 基于 复制 的 容错 技术 和 基于 纠 删 码 的 容错 技术 。 


1.4.5 软件 定义 网 络 拉 术 


软件 定义 网 络 (Software Defined Network，SDNJ) 是 网 络 上 虚拟 化 的 一 种 实现 方式 。 
SDN 的 出 现 使 得 网 络 虚拟 化 的 实现 更 加 灵活 和 高 效 , 同 时 网 络 虚拟 化 也 成 为 SDN 应 用 
中 的 重量 级 应 用 。 其 核心 技术 OpenFlow 通过 将 网 络 设备 控制 面 与 数据 面 分 离开 来 , 实 
现 了 网 络 流量 的 灵活 控制 ,使 网 络 作 为 已 站 变 得 更 加 智能 。 

在 传统 IT 架构 的 网 络 中 ,产品 根据 业务 需求 部 上 普 上 线 以 后 , 当 业 务 需 求 发 生变 动 
时 ,重新 修改 相应 网 络 设备 ( 路 由 天 .交换 机 防火墙) 的 配置 是 一 件 非 党 烦琐 的 事情 。 在 
互联 网 /移动 互联 网 瞬息 万 变 的 业务 环境 下 ,网 络 的 高 稳定 与 高 性 能 还 不 足以 满足 业务 需 
求 , 灵 活性 和 敏捷 性 反而 更 为 关键 。SDN 所 做 的 就 是 将 网 络 设 备 的 控制 权 分 离 出 来 ,由 
集中 的 控制 器 管理 ,SDN 屏蔽 了 来 自 底层 网 络 设备 的 差异 ,无 须 依赖 底层 网 络 设备 (路 由 
硕 、 交 换 机 、 防 火场 ) ,而 控制 权 是 完全 开放 的 ,用 户 可 以 上 月 定义 任何 想 实 现 的 网 络 路 由 和 
传输 规则 策略 ,从 而 更 加 灵活 和 智能 。 

进行 SDN 改造 后 ,网 络 中 的 设备 本 二 是 日 动 化 连通 的 ,因此 无 须 对 网 络 中 每 个 市 点 
的 路 由 融 进 行 反 复 配 置 , 只 需要 在 使 用 时 定义 简单 的 网 络 规则 即 可 。 

网 络 虚 拟 化 可 通过 SDN 实现 。 网 络 虚 拟 化 平台 包括 物理 网 络 管理 、. 网络 质 源 虚拟 
化 和 网 络 隔离 3 部 分 ,这 3 部 分 内 容 往 往 是 通过 专门 的 中 间 层 软件 完成 的 。 网 络 虚 拟 
化 平台 需要 完成 物理 网 络 的 管理 和 抽象 虚拟 化 ,并 分 别提 供给 不 同 的 租户 。 此 外 , 虚 
拟 化 平台 还 应 该 实现 不 同 租户 之 间 的 相互 隔离, 保证 不 同 租户 互 不 影响 。 虚 拟 化 平台 
的 存在 使 得 租户 无 法 感知 到 网 络 虚 拟 化 的 存在 , 即 虚 拟 化 平台 可 实现 用 户 透 明 的 网 络 
虚拟 化 。 
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1.5 云 计 算 的 特点 


云 计算 的 主要 特点 如 图 1-3 所 示 ,这 些 特点 都 体现 了 云 计算 的 核心 竞争 力 ,同时 为 云 
服务 提供 商 和 云 服务 使 用 者 带 来 利益 。 下 面 逐一 介绍 云 计算 的 这 几 个 主要 特点 。 


” 按 需 日 助 服务 


泛 在 接 入 


快速 弹性 伸缩 


图 1-3 云 计 算 的 主要 特点 


1.5.1 按 需 目 助 服务 


按 需 目 助 服务 指 的 是 在 不 需要 与 云 服务 提 供 商 进行 联络 ,或 者 是 仅 进 行 少量 交互 的 
情况 下 ,用 户 可 以 根据 自己 的 需求 使 用 云 计算 资 源 ,完成 对 云 服务 的 使 用 和 操作 。 

云 计 算 的 按 需 服务 不 仅 可 以 提供 基础 设施 服务 ,例如 Microsoft 公司 的 Windows 
Azure 服务 平台 和 Google 公司 的 App Engine 服务 ,其 分 布 式 数据 存储 与 处 理 平台 还 能 
为 海量 数据 的 存储 和 处 理 提供 可 水 平 扩 展 的 基础 服务 。 按 需 日 助 服务 中 的 “ 按 需 ”, 是 指 
用 户 能 根据 自己 的 实际 情况 ,根据 自己 的 需求 对 云 计 算 资 源 进行 动态 的 申请 和 释放 ,而 不 
再 需要 购买 IT 基础 设施 来 日 建 数 据 中 心 ,这 样 可 以 将 基础 设施 的 建设 和 维护 资金 转化 
为 按 需 文 付 的 服务 费用 。 用 户 无 须 再 承担 对 基础 设施 的 建设 和 维护 费用 ,只 需 在 有 需要 
的 时 候 回 云 服 务 提 供 商 申 请 IT 资源 ,并 根据 日 己 对 资源 的 实际 使 用 情况 付费 即 可 。“ 按 
需 ” 也 表明 用 户 能 根据 自己 的 实际 需求 对 云 计 算 的 使 用 情况 进行 规划 , 即 用 户 可 以 日 己 决 
定 所 需 计 算 和 存储 质 源 的 多 少 以 及 云 服务 和 资源 如 何 部 普 和 管理 。“ 目 助 ? 是 指 云 计 算 服 
务 能 日 动 化 提供 ,用 户 不 需要 与 云 服务 提供 商 进 行 额外 的 人 力 方面 的 交互 即 可 使 用 基于 
云 的 服务 。 这 样 , 对 用 户 来 说 ,可 以 节省 对 云 服 务 的 使 用 和 操作 时 间 ; 对 于 云 服务 提供 商 
来 说 , 则 可 以 减少 运营 成 本 ，。 
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云 计算 及 云 安全 


在 云 计算 中 , 云 用 户 根据 他 们 的 实际 需求 向 云 服 务 商 提出 个 性 化 需求 ,希望 能 得 到 满 
足 要 求 的 云 服务 ;而 云 服务 提供 商 就 需要 根据 云端 的 可 用 资源 和 用 户 的 个 性 化 需求 ,尽量 
高 效 地 满足 尽 可 能 多 的 用 户 需求 ,实现 云 平台 的 高 效 利 用 。 为 了 给 用 户 提供 即时 的 按 需 
服务 , 云 平 台 要 考虑 两 个 问题 : 如 何 支 持 用 户 对 需求 进行 更 准确 而 方便 的 描述 ,以 更 好 地 
根据 用 户 需求 快速 地 提供 云 服务 ;如 何 实现 对 资源 池 中 可 用 资源 的 状态 .用户 的 情景 等 信 
息 进 行 感知 ,从 而 提供 满足 需求 的 云 服务。 为 了 解决 上 述 两 个 问题 , 云 计 算 中 的 按 需 服务 
采用 了 资源 的 分 布 式 管理 与 状态 监测 技术 .情景 感知 的 按 需 建 模 技术 、 按 需 自主 服务 组 合 
技术 等 关键 技术 ,以 实现 为 用 户 提供 即时 按 需 自助 服务 。 

1.$S.2 ” 泛 在 接 入 

泛 在 接 人 指 的 是 一 个 云 服务 能 被 广泛 访问 的 能 力 , 用 户 可 以 通过 网 络 使 用 PC 、 智 能 
手机 、 平 板 电脑 等 不 同 的 设备 访问 云 服 务 。 云 服务 可 以 通过 网 络 提供 服务 ,用户 的 所 有 业 
务 和 应 用 都 在 云 服务 提供 商 的 数据 中 心 进行 处 理 ,用 户 只 需 利 用 设备 通过 网 络 去 访问 云 
服务 ,无 须 购买 各 种 基础 设施 或 在 自己 的 环境 中 安装 维护 数据 库 、 操 作 系 统 、Web 服务 器 
等 复杂 环境 , 即 可 获得 所 需 的 资源 。 云 计算 的 泛 在 接 入 特性 大 大 降低 了 对 用 户 终端 设备 
性 能 的 要 求 ,用户 只 需要 用 手机 或 平板 电脑 就 能 通过 互联 网 获取 相应 的 云 服 务 , 云 计算 的 
使 用 门槛 大 大 降低 。 泛 在 接 入 使 得 用 户 不 管 在 什么 地 方 ,都 可 以 通过 网 络 访问 云 服务 ,从 
而 实现 办 公 地 点 的 无 颖 切换。 为 了 实现 泛 在 接 入 , 云 服务 往往 需要 制定 一 套 标准 协议 和 
标准 格式 ,需要 支持 传输 协议 ,接口 .设备 和 安全 技术 等 。 


1.5.3 ”多 租户 


多 租户 是 指 一 个 IT 资源 的 实例 可 以 同时 透明 地 为 多 个 组 织 或 用 户 提供 服务 的 能 
力 , 即 大 量 的 租户 能 够 共享 同一 个 资源 池 中 的 软 硬 件 资源 ,在 逻辑 上 访问 同一 个 实例 。 各 
租户 之 间 彼 此 隔离 、 互 不 干扰 , 谁 也 不 会 访问 到 不 属于 自己 的 数据 和 配置 信息 ,每 个 租户 
都 不 会 意识 到 还 有 别 的 租户 在 使 用 该 资源 。 多 租户 技术 保证 每 个 租户 都 能 按 需 使 用 , 且 
每 个 租户 申请 的 资源 都 是 该 IT 资源 的 一 个 专 有 实例 ,每 个 租户 对 其 定制 的 IT 资源 都 有 
自己 的 视图 ,可 以 对 资源 进行 个 性 化 配置 ,不 仅 可 独立 控制 用 户 或 群 组 的 访问 权限 ,还 可 
以 扩展 应 用 的 数据 模式 。 

多 租户 技术 通常 用 于 云 计 算 的 应 用 层 ,多 租户 带 来 的 资源 高 度 共享 模式 能 够 有 效 地 
提高 资源 利用 率 ,降低 单位 资源 的 成 本 。 相 对 于 单 租户 应 用 ,多 租户 应 用 的 架构 比较 复 
杂 , 它 需要 支持 多 个 租户 对 入 口 .中 间 件 ,数据库 等 各 种 构件 的 共享 ,还 要 隔离 不 同 租户 的 
操作 环境 ,在 设计 开发 的 时 候 要 考虑 到 数据 和 配置 信息 的 虚拟 分 区 。 虽 然 租户 间 共 享 的 
资源 越 多 ,基础 资源 的 利用 率 就 越 高 ,单位 资源 成 本 也 就 越 低 ,但 与 此 同时 租户 间 的 隔离 
性 也 越 差 ,因此 多 租户 技术 还 要 考虑 如 何 克 服 隔离 性 下 降 给 租户 带 来 的 不 便 。 

多 租户 技术 通过 对 物理 资源 进行 组 织 和 分 配 , 让 多 个 租户 彼此 隔离 地 享用 相同 的 IT 
资源 ,可 以 有 效 地 提高 资源 利用 率 , 节 能 环保 。 通 过 多 租户 技术 , 云 服务 供应 商 可 以 降低 
对 IT 基础 设施 的 资金 投入 ,降低 了 成 本 ; 云 服 务 用 户 则 可 以 和 其 他 用 户 一 起 分 挫 资 源 的 


le 


使 用 费用 ,从 而 降低 了 服务 的 使 用 成 本 .。 
1.5.4 快速 弹性 伸缩 


弹性 伸缩 是 指 对 一 个 系统 适应 负载 变化 进行 调控 的 能 力 。 云 计算 的 快速 弹性 伸缩 控 
制 能 力 是 指 云 能 够 根据 运行 时 的 条 件 .用 户 的 业务 需求 和 提前 制定 的 伸缩 策略 ,快速 地 对 
IT 资源 进行 自动 .透明 的 扩展 或 缩减 。 

在 云 计 算 未 出 现 前 ,企业 内 部 的 物理 基础 设施 在 使 用 的 过 程 中 可 能 会 遇 到 如 下 的 问 
题 : 无 法 应 对 突 发 性 的 高 流量 、 高 密度 业务 要 求 , 短 时 间 内 难以 满足 迅速 获取 所 需 资源 的 
需求 ;另外 ,在 业务 高 峰 期 过 后 出 现 资源 闲置 的 状况 ,导致 IT 资源 使 用 率 低下 。 云 计算 
的 出 现 可 以 很 好 地 解决 这 些 问题 , 云 计算 的 快速 弹性 伸缩 能 力 可 以 实现 对 物理 或 虚拟 IT 
资源 进行 快速 和 灵活 的 调整 ,能 随 着 系统 的 负载 变化 进行 动态 调整 ,快速 地 对 IT 资源 进 
行 增 减 。 弹 性 伸缩 适合 需求 不 停 波 动 的 应 用 程序 ,视频 网 站 就 是 弹性 伸缩 特性 比较 常见 
的 应 用 场景 。 当 网 站 的 访问 量 突然 增加 时 ,弹性 伸缩 服务 可 快速 地 根据 请 求 量 增加 应 用 
服务 需 的 数量 。 

弹性 伸缩 能 根据 业务 负载 情况 和 月 动 对 资源 进行 迅速 而 灵活 的 调整 ,因此 能 够 有 效 提 
高 资源 的 利用 率 。 同 时 ,弹性 伸缩 让 云 用 户 可 以 在 任意 时 间 购 置 任意 数量 的 资源 ,这样 可 
以 在 业务 需求 激增 时 ,避免 出 现 短 时 间 内 资源 需求 得 不 到 满足 .客户 业务 系统 出 现 异 稼 的 
情况 。 同 样 ,弹性 伸缩 能 够 在 业务 需求 下 降 时 目 动 地 对 资源 进行 前 减 , 因 此 可 以 避免 高 峰 
期 过 后 资源 闲置 市 来 的 浪费 。 男 外 ,弹性 伸缩 功能 可 以 目 动 对 资源 进行 动态 调整 ,不 需要 
人 工 干 预 ,这 样 可 以 免 去 人 工 部 署 的 负担 ,省 去 复杂 .烦琐 的 手动 操作 。 


1.5.5 ”服务 可 测 旱 


所 谓 服 务 可 测量 , 指 的 是 云 平 台 能 对 用 户 的 云 服务 使 用 情况 进行 监控 ,控制 ,报告 和 
计 费 ,监控 内 容 包 括 存 储 能 力 、 计 算 能 力 、 和 市 宽 等 的 实际 使 用 情况 。NIST 对 服务 可 测量 
的 定义 是 : 通过 利用 在 某 种 抽象 层次 上 适用 于 服务 类 型 (例如 存储 、 处 理 、 宽 市 以 及 激活 
用 户 数 量 ) 的 计量 能 力 , 云 系统 可 以 实现 资源 使 用 的 自动 控制 和 优化 。 云 可 以 对 资源 的 使 
用 情况 进行 监控 ,控制 和 报告 ,让 服务 的 提供 者 和 使 用 者 都 了 解 服务 使 用 的 相关 情况 。 

服务 可 测量 起 源 于 效用 计算 。 效 用 计算 定义 了 一 种 计算 服务 的 提供 模式 , 它 将 计算 
当 作 水 . 电 、 天 然 气 一 样 的 公共 基础 设施 。 效 用 计算 将 存储 、 计 算 能 力 .基础 设施 等 封装 成 
服务 ,用户 则 根据 自己 对 资源 的 实际 使 用 情况 付费 。 在 云 计算 中 ,效用 计算 得 到 充分 体 
现 , 云 平台 能 自动 根据 用 户 需 要 动态 地 进行 云 计算 资源 分 配 和 监控 ,并 记录 每 个 云 用 户 对 
于 IT 资源 的 使 用 情况 , 云 服务 提供 商 根 据 记 录 的 用 户 实际 使 用 情况 对 用 户 进 行 收费 。 
服务 可 测量 能 对 云 服 务 的 实际 使 用 情况 进行 记录 证 实 , 使 用 户 可 以 按 需 动态 申请 云 资源 ， 
并 只 对 实际 使 用 的 云 计算 资 源 进行 付费 ,将 过 去 投入 到 基础 设施 建设 维护 的 资金 转化 为 
按 需 使 用 所 支付 的 费用 ,节省 了 很 多 资金 ,也 有 效 提高 了 IT 资源 的 利用 率 。 
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1.5.6 资源 池 化 


货源 池 化 是 指 首先 利用 虚拟 化 的 方式 将 服务 融 、 和 存储、 网 络 等 IT 资源 放 到 一 起 , 形 
成 一 个 大 规模 的 、 灵 活动 态 的 资源 池 , 接 春 云 计 算 会 根据 云 用 户 的 需求 ,利用 多 租户 技术 、 
分 布 式 的 算法 对 资源 池 中 的 物理 和 虚拟 IT 资源 进行 动态 分 配 , 从 而 消 际 物理 边 寞 ,提升 
质 源 的 利用 率 。 

在 传统 的 架构 中 ,每 一 个 平台 和 系统 都 要 部 着 一 和 仁 便 件 殴 源 ,并 且 为 了 应 对 少量 的 
峰值 负载 还 会 经 党 过 度 配 置 宽 源 。 在 这 种 架构 下 ,往往 设备 众多 ,能 耗 大 ,资源 的 利用 
率 很 低 。 据 统计 ,在 传统 的 数据 中 心里 ,IT 资源 的 平均 利用 率 不 到 20%。 资 源 池 化 的 
出 现 很 好 地 解决 了 这 些 问 题 , 云 计算 正 是 通过 构建 合理 的 资源 池 来 实现 资源 的 按 需 动 
态 分 配 。 

资源 池 化 将 大 量 的 IT 资源 集中 起 来 ,整合 成 一 个 资源 池 , 虚 拟 化 和 物理 服务 右 会 对 
资源 进行 统一 管理 ,提供 基于 资源 池 的 统一 编排 调度 ,并 能 够 根据 云 用 户 的 知 求 快速 地 进 
行 宽 源 的 动态 分 配 , 为 用 户 提 供 高 弹性 的 计算 资源 ,存储 闯 源 以 及 计算 能 力 。 帝 源 池 化 使 
得 云 计算 具备 资源 共 至 、 资 源 按 需 分 配 和 弹性 扩展 的 特点 ,有 效 地 提高 了 资源 利用 率 , 降 
低 了 运 到 成 本 ,提高 了 管理 效率 。 可 见 , 资 源 池 越 大 ,可 供 共 圣 的 资源 就 越 多 ,整体 贤 源 的 
利用 率 驶 越 高 , 运 维 人 员 对 资源 的 管理 效率 也 越 高 ,因此 在 设计 资源 池 的 时 候 可 以 根据 实 
际 情 总 适当 将 小 池 合并 为 大 池 。 

资源 池 是 与 位 置 无 关 的 ,资源 池 中 的 IT 资源 可 以 物理 上 分 布 在 多 个 位 置 , 当 计 算 害 
要 时 ,这 些 贤 源 会 作为 虚拟 组 件 进行 有 效 的 分 配 。 为 外 , 宽 源 池 化 对 不 同 的 设备 资源 进行 
整合 管理 ,上 层 的 业务 是 无 法 感知 下 层 物 理 设备 的 更 换 、 升 级 以 及 虚拟 平台 的 切换 的 , 同 
样 ,下层 硬件 设备 的 更 换 和 升级 也 不 会 影响 上 层 的 用 户 和 业务 。 


We 本 章 小 结 


作为 新 型 的 计算 模式 , 云 计算 突破 了 传统 的 IT 商业 模式 和 应 用 模式 ,在 技术 和 商业 
模式 上 有 了 极 大 的 突破 和 创新 , 它 的 出 现 使 得 提供 计算 能 力 的 模式 发 生 了 巨大 变化 ,同时 
也 为 人 们 提供 了 更 加 廉价 、 使 用 起 来 更 加 方便 的 计算 资源 。 

本 章 首 先 介 绍 了 云 计算 的 出 现 和 发 展 历程 ,接着 根据 部 署 方式 的 不 同 将 云 计 算 分 成 
公有 云 .私有 云 ,混合 云 3 种 类 型 ,并 分 别 进行 了 介绍 。 随 后 ,介绍 了 云 计 算 的 3 种 交付 模 
型 . IaaS、PaaS、SaaS, 还 介绍 了 虚拟 化 技术 、 多 租户 技术 、 并 行 计算 技术 等 多 个 云 计 算 使 
用 到 的 关键 技术 。 最 后 总 结 归 纳 了 云 计算 的 多 个 特点 ,包括 按 需 日 助 服 务 、 这 在 接 入 、 多 
租户 快速 弹性 收缩 等 ,并 分 别 进行 了 介绍 。 

通过 本 章 的 学 习 , 恋 者 可 以 对 云 计算 有 整体 的 认识 ,大 臻 了解 云 计算 的 种 类 、 关 键 技 
术 .主要 特征 等 ,这 些 内 容 都 为 后 面 学 习 云 计算 所 面临 的 安全 问题 做 好 了 铺垫 。 
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(1) 公有 云 .私有 云 以 及 温 合 云 各 日 有 什么 特点 ?它们 之 间 有 什么 区 别 ? 


(2) 云 计 算 有 哪 几 种 交付 模型 ? 每 一 种 交付 模型 的 特点 是 什么 ? 
(3) 云 存储 、 云 安全 和 云游 戏 分 别 属于 哪 种 交付 模型 ? 


1 


(4) 简 述 云 计 算 所 涉及 的 多 租户 技术 和 虚拟 化 技术 。 
(5) 云 计 算 有 哪些 特点 ? 


_ 别 [sy 下 下 让 Pe hy EE 
一 十 = [ee Ei J 下 = 
ER py, EF i 
ds FF = A 于 . 


去 计算 安全 加 十 己 安全 
体系 


第 2 意 


2 .1 云 计 算 安 全 问题 


2.1.1 云 计 算 安 全 事件 

近年 来 , 云 计算 以 其 成 本 低廉 、 资 源 有 弹性 、 维 护 方便 等 优点 受到 人 们 的 青睐 ,世界 各 
国政 府 都 在 加 快 对 云 计 算 的 战略 部 团 。 但 是 ,作为 一 种 新 的 计算 模式 , 云 计 算 具 有 虚拟 
化 .服务 化 等 独特 的 属性 ,传统 的 安全 防护 措施 已 经 不 能 有 效 地 保证 数据 的 完整 性 、 可 用 
性 和 保密 性 , 云 计 算 在 主机 、 网 络 和 应 用 程序 等 各 个 层面 部 面临 大 严峻 的 安全 挑战 ,各 种 
各 样 的 云 计算 安全 事件 频 发 ,包括 Google、Amazon、Microsoft 等 国际 IT 巨 涉 也 未 能 举 
人 免 。 下 面 是 近年 来 发 生 的 一 些 重大 云 计算 安全 事件 。 


1. Amazon 公司 宕 机 事件 

2011 年 4 月 21 日 凌晨 , 云 服 务 提供 商 Amazon 公司 在 美国 北 弗 吉 尼 亚 州 的 云 计 算 
中 心 宕 机 ,导致 包括 问答 服务 Quora、 新 闻 服 务 Reddit、 社交 平 台 Hootsuite 和 手机 地 理 
位 置 社交 网 络 服务 FourSquare 等 在 内 的 数 千 家 企业 客户 受到 了 影响 。 这 些 商 家 将 网 站 
由 Amazon 公司 的 EC2 服务 托管 ,并 通过 各 地 的 云 计 算 中 心 提 供 服 务 。 这 次 事件 中 
Amazon 公司 的 云 服 务 中 断 了 将 近 4 天 ,可 以 说 是 Amazon 公司 运营 历史 上 爆发 的 最 大 
_ 起 宕 机 事件 。 经 过 紧急 抢修 ,Amazon 公司 云 服务 最 终 恢复 了 正常。 

发 生 宕 机 事件 的 北 弗 吉 尼 亚 州 云 计算 中 心 是 Amazon 公司 经 营 的 云 计 算 中 心 之 一 。 
按照 第 规 , 云 计算 系统 在 设计 之 初 就 应 该 考虑 以 下 问题 : 即使 某 个 云 计算 中 心 出 现 了 大 
机 现 索 ,系统 也 能 将 该 中 心 的 工作 转移 到 其 他 的 云 计算 中 心 ,而 不 会 因 茶 个 中 心 的 大 机 使 
其 他 云 计 算 中 心 受 到 影 啊 ,其 至 发 生 运行 中 汤 , 从 而 影响 使 用 云 计 算 服 务 的 用 户 。 但 在 这 
次 宪 机 事件 中 ,Amazon 公司 的 云 计算 中 心 并 没有 绕 过 发 生 故 障 的 北 旨 吉 尼 亚 州 云 计算 
中 心 ,自动 将 其 工作 转移 到 其 他 云 计 算 中 心 ,从 而 严重 影响 了 用 户 对 于 Amazon 公司 云 服 
务 的 正常 使 用 ,导致 大 量 依赖 Amazon 公司 云 服务 的 企业 遭受 了 不 小 的 损失 ,造成 了 极其 
恶劣 的 影响 。 经 过 调查 ,造成 这 次 事故 的 主要 原因 是 工程 师 在 修改 网 络 设 置 、 进 行 主 网 络 
升级 扩容 的 过 程 中 ,不 恒 将 主 网 络 中 的 全 部 数据 切换 到 了 备份 网 络 上 ,由 于 备份 网 络 的 市 
宽 较 小 ,无 法 孙 载 所 有 数据 而 造成 了 网 络 墙 塞 , 所 有 EBSCElastic Block Store ,弹性 块 存 
储 ) 闻 点 通信 中 断 ,存储 数据 的 MySQL 数据 库容 机 。 
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此 次 发 生 宕 机 事故 的 系统 正 是 Amazon 公司 引 以 为 傲 的 弹性 云 EC2, 这 使 得 原本 就 
对 云 计 算 处 于 观望 状态 的 用 户 信 心动 摇 , 也 给 Amazon 公司 的 云 安 全 敲 啊 了 警钟 。 同 年 
4 月 30 日 ,Amazon 公司 为 此 次 宕 机 事件 占用 户 发 表 了 5000 多 字 的 道 痰 信 , 声 称 
Amazon 公司 已 经 调查 清楚 漏洞 和 设计 缺陷 所 在 ,和 希望 通过 修复 漏洞 和 缺陷 来 改善 用 户 
的 体验 ,重建 用 户 信 心 ,提高 弹性 云 EC2 的 市 场 竞争 力 。 此 次 事故 发 生 后 ,Amazon 公司 
采取 了 一 系列 措施 来 完善 服务 质量 ,希望 避免 类 似 事故 再 次 发 生 ,这 些 措施 包括 重新 审计 
网 络 设置 修改 流程 .加 强 自动 化 运 维 手段 ,完善 灾 备 架构 以 及 扩大 资源 的 部 署 和 供应 等 。 

从 此 次 Amazon 公司 宕 机 事故 可 以 看 到 ,由 于 云 计算 系统 非 党 复杂, 且 用 户 众 多 ,所 
以 即使 是 很 小 的 配置 错误 ,也 可 能 对 云 服 务 产 生 很 大 的 影响 ,并 且 受 影响 的 用 户 数 量 会 很 
大 ,区 域 会 很 广 。 因 此 ,对 于 云 环境 下 的 信息 系统 变更 ,应 该 制定 完善 的 安全 策略 和 流程 ， 
特别 要 管理 好 那些 对 组 织 业 务 至 关 重 要 .对 用 户 影响 显著 的 应 用 的 变更 。 


2. Google 公司 Gmail 事件 

Gmail 是 Google 公司 在 2004 年 愚人 节 推 出 的 一 项 免费 电子 邮件 服务 。 由 于 Gmail 
邮箱 容量 大 且 易 于 使 用 ,因此 受到 了 广大 用 户 的 喜爱 。 但 是 日 从 Gmail 这 项 服务 被 推出 
以 来 ,各 种 安全 问题 时 第 发 生 ,给 用 户 市 来 了 很 多 损失 。 

2009 年 2 月 24 日 ,Google 人 公司 的 电子 邮件 服务 在 全 球 范 围 内 中 断 了 4 小 时 。 
Google 公司 对 此 次 事故 原因 的 解释 是 : 在 位 于 欧洲 的 数据 中 心 例 行 维护 时 ,新 发 布 的 程 
厅 代 人 码 ( 能 将 地 理 位 置 相近 的 数据 推送 至 相关 的 用 户 终 问 ) 产 生 了 副作用 ,致使 欧洲 男 一 
个 数据 中 心 过 载 ,引发 了 连锁 效应 ,使 得 故障 扩展 至 其 他 数据 中 心 的 接口 ,最 终 导 臻 全球 
性 的 断 线 ,使 其 他 所 有 数据 中 心 都 不 能 正 第 工作 。 这 次 事件 发 生 后 ,Google 公司 宣布 其 
会 器 企业 ,政府 机 构 和 其 他 Google Apps Premier 版 的 付费 用 户 提 供 15 天 的 免费 服务 。 
男 外 , 它 还 会 补偿 用 户 因 服务 中 断 而 造成 的 经 济 损失 ,单项 服务 佑 值 为 2.05 美元 。2011 
年 3 月 ,Google 公司 的 电子 邮箱 再 次 爆发 大 规模 的 用 户 数 据 泄 露 事件 ,大 约 有 15 万 个 
Gmail 用 户 在 周 日 早上 发 现 上 自己 的 所 有 邮件 和 聊天 记录 被 删除 ,有 的 用 户 发 现 目 己 的 账 
户 被 重 置 。 事 后 Google 公司 表示 此 次 事故 中 受 影 响 的 用 户 数量 约 为 总 用 户 的 0.08”%，。 


3. iCloud 数据 泄露 事件 

2014 年 9 月 ,有 攻击 者 攻击 了 苹果 iCloud 云 存 储 服 务 账户 ,导致 100 多 位 美国 好 莱 
坞 明星 的 私密 照片 和 视频 泄露 。 随 后 苹果 公司 对 此 次 数据 泄露 发 布 了 声明 ,声称 此 次 事 
件 是 攻击 者 对 特定 账户 进行 的 攻击 ,造成 数据 泄露 的 原因 不 是 攻击 者 利用 此 前 备 受 怀疑 
的 iCloud 服务 漏洞 对 账户 进行 攻击 ,而 是 一 些 明星 的 账户 在 用 户 名 、 密 码 、 安 全 问题 等 设 
置 上 存在 着 重大 安全 隐患 ,例如 部 分 受害 者 设置 的 密码 太 简 单 。 另 外 , 革 果 公司 在 调查 中 
还 发 现 , 此 次 事件 中 泄露 的 照片 的 拍摄 设备 并 不 都 是 iPhone, 还 可 能 来 自 Android 手机 
和 数码 相机 ,而 这 些 照片 也 并 不 都 来 自 iCloud, 还 可 能 来 自 Google Drive 等 云 服 务 应 用 ， 
或 是 东 些 App 的 聊天 记录 。 

此 次 数据 泄露 事件 并 没有 发 生 在 云 服务 器 端 ,而 是 攻击 者 有 针对 性 地 对 用 户 进行 攻 
击 而 得 到 了 用 户 的 账户 密码 ,或 者 获得 用 户 密码 保护 问题 的 详细 资料 ,然后 冒充 用 户 的 身 
份 登录 ,从 而 窃取 云端 的 数据 ,其 实质 是 身份 欺骗 。 用 户 受到 攻击 的 原因 是 他 们 在 账户 安 
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全 设置 上 过 于 随意 ,另外 ,也 是 因为 云端 只 通过 用 户 密 人 码 的 方式 来 认证 用 户 的 号 份 ,其 认 
证 强度 不 够 而 导致 用 户 信 息 被 家 取 。 

4. Microsoft 公司 Azure 事件 

2014 年 11 月 19 日 ,Microsoft 公司 的 Azure 出 现 了 大 面积 服务 中 断 现 象 ,但 是 
Azure 服务 健康 仪表 控制 板 却 显 示 一 切 应 用 正常 运行 。 这 次 事故 影响 范围 很 大 ,波及 美 
国 .欧洲 以 及 部 分 亚洲 国家 ,导致 Azure Storage、Azure Search、 SQL Import/Export 、 应 
用 网 站 等 大 量 应 用 无 法 正 第 使 用 。 此 次 故障 长 达 11 小 时 ,经 调查 发 现 , 导 致 服务 中 断 的 
原因 是 Azure 存储 组 件 为 了 降低 CPU 占用 率 、 提 高 性 能 而 进行 了 更 新 ,但 在 更 新 过 程 中 
发 生 了 错误 ,导致 Blob 前 病 进 入 无 限 循环 的 状态 ,从 而 造成 了 流量 故 陆 。 拉 术 维 护 团 队 
发 现 这 个 问题 后 ,立刻 恢复 了 之 前 的 配置 ,但 由 于 Blob 前 妆 已 经 进入 了 和 死 循 环 模式 ,配置 
无 法 更 新 ,因此 技术 人 员 只 能 采取 系统 重启 模式 ,但 这 使 得 系统 在 恢复 过 程 中 耗费 了 很 长 
时 间 。 此 次 事故 发 生 后 ,微软 Azure 团队 也 针对 此 次 故障 中 出 现 的 问题 采取 了 一 系列 改 
进 措施 来 避免 类 似 事件 再 次 发 生 , 其 中 包括 以 下 措施 : 改变 灾 备 恢复 方法 ,使 系统 的 恢复 
时 间 最 小 化 ;修复 Blob 前 端 天 于 CPU 无 限 循环 的 漏洞 :改进 Azure 服务 健康 仪表 控制 板 
基础 设施 和 相关 协议 ,提高 检测 准确 率 。 


2.1.2 云 计算 的 混用 


除了 云 计 算 日 身 存 在 的 漏洞 和 缺陷 可 能 引发 安全 问题 外 ,对 云 计 算 的 洁 用 也 同样 会 
市 来 各 种 严重 的 安全 问题 。 通 过 前 面 的 划 市 可 以 看 到 , 云 计算 具有 很 多 传统 计算 模式 所 
不 具备 的 优势 ,包括 云 计算 独特 的 易 用 性 和 可 恢复 性 ,海量 的 数据 存储 ,资源 的 快速 部 署 、 
可 伸缩 性 .强大 的 计算 能 力 等 。 云 计算 的 这 些 显著 优势 可 以 让 用 户 在 不 用 花费 巨额 资金 
的 情况 下 使 用 强大 的 计算 力 和 几乎 无 限 的 存储 空间 。 与 此 同时 , 云 计 算 的 这 些 优 势 ,尤其 
是 云 计 算 超 强 的 计算 能 力 , 也 很 可 能 会 被 犯罪 分 子 利 用 来 实施 犯罪 活动 ,从 而 引发 严重 的 
云 安全 问题 ,因此 云 计 算 滥 用 可 以 说 是 一 类 边 绿 化 的 云 计 算 安 全 事件 。 举 个 例子 ， 
Amazon 的 弹性 云 EC2 通过 前 所 未 有 的 简单 方式 为 用 户 提供 强大 的 计算 能 力 , 目 前 已 经 
有 攻击 者 利用 EC2 骏 力 破解 用 户 信用 卡 的 账户 密码 ,还 有 攻击 者 将 EC2 作为 攻击 的 

从 目前 发 生 的 安全 问题 来 看 , 云 计算 滥用 大 至 包括 利用 云 计 算 进 行 又 力 人 破解 ,将 云 计 
算 作 为 网 络 犯 罪 平台 、 通 过 云 计 算 进 行 间谍 活动 这 3 种 ,下 面 分 别 对 这 3 种 情况 进行 
介绍 。 


1. 利用 云 计 算 进 行 又 力 破解 

云 计算 的 一 个 显著 特点 就 是 它 的 计算 能 力 很 强大 ,而 且 云 计算 简单 易 用 、 价 格 低廉 ， 
因此 任何 人 部 只 需要 用 很 低 的 成 本 就 能 够 轻易 地 获取 以 往 只 有 超级 计算 机 才 上 有 具备 的 超 强 
计算 能 力 。 从 男 一 个 角度 来 看 , 云 计算 的 这 种 特性 极 易 被 攻击 者 利用 ,从 而 实施 威力 很 强 
的 犯罪 行为 。 

2011 年 11 月 15 日 ,Amazon 公司 和 nVIDIA 公司 联合 推出 了 新 的 EC2 集群 GPU 
实例 ,里 面 的 每 个 实例 都 有 两 个 nVIDIA TeslaFermiM2050 GPU 加 速 , 在 暴力 破解 
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SHA-1 等 加 密 算 法 方面 ,GPU 的 速度 甚至 比 四 核 CPU 还 快 数 倍 ,因此 这 种 新 推出 的 
EC2 GPU 实例 的 计算 能 力 非 常 强 大 ,甚至 超越 此 前 的 超级 计算 机 。 有 一 名 德国 的 安全 人 
员 利 用 租用 的 集群 GPU 实例 成 功 破解 了 SHA-1 散 列 算法 生成 的 单项 哈 希 值 。 他 在 租 
用 的 计算 资源 上 安装 了 基于 nVIDIA 公司 的 运算 平台 CUDA 的 哈 希 破解 程序 , 仅 用 
49min 就 破解 了 文件 中 的 所 有 哈 希 值 ,并 且 破 解 的 成 本 还 很 低 ,平均 破解 一 个 SHA-l 哈 
希 人 只 需要 2 美元 。 他 还 宣布 ,使 用 Amazon 公司 的 EC2 云 服务 ,可 以 在 20min 之 内 破 
解 WPA-PSK 加 蜜 的 无 线 网 络 , 如 果 对 程序 进行 改进 ,破解 的 时 间 甚 至 可 以 下 降 到 6min， 
按 每 分 钟 28 美 分 的 使 用 费 计 算 ,6min 破解 WPA-PSK 仅 需 要 1.68 美元 。 

由 此 可 见 , 云 计算 很 容易 被 攻击 者 利用 ,作为 一 种 非常 廉价 且 威 力 很 强 的 暴力 破解 工 
具 。 对 此 ,一 些 云 服 务 对 为 单独 一 名 用 户 提供 的 云 计 算 服 务 的 计算 能 力 进 行 了 限制 ,但 攻 
击 者 还 是 有 办 法 轻易 绕 过 这 些 限制 去 获取 更 大 的 计算 能 力 。 例 如 ,有 的 攻击 者 鳃 取 多 个 
信用 卡 账号 ,并 利用 这 些 账 号 同时 登录 云 计 算 服 务 , 让 多 个 云 计算 服务 同时 进行 计算 。 

2. 将 云 计算 作为 网 络 犯罪 平台 

除了 会 被 攻击 者 用 作 强 大 而 廉价 的 暴力 破解 工具 之 外 , 云 计 算 还 会 被 用 作 网 络 犯 罪 
的 平台 。 通 过 前 面 的 章节 可 以 知道 , 云 计 算 的 用 户 体 量 很 庞大 , 云 服务 商 往往 代 管 了 大 量 
企业 团体 用 户 的 服务 ,所 以 一 旦 攻击 者 人 侵 了 任意 一 个 防范 薄弱 的 服务 ,并 进入 云 内 部 发 
起 攻击 ,将 会 使 大 量 用 户 的 安全 受到 威胁 ,引发 十 分 严重 的 后 果 。 

2011 年 5 月 ,索尼 在 线 娱 乐 公 司 就 爆发 了 一 次 大 规模 的 数据 泄露 事件 ,攻击 者 利用 
虚假 的 信息 在 Amazon EC2 云 服 务 租 用 了 服务 需 , 并 利用 Amazon 这 家 合法 公司 来 伪造 
虚假 信息 ,用 于 与 索尼 在 线 娱乐 公司 签订 服务 协议 ,然后 用 这 些 租用 的 服务 器 对 索尼 在 线 
娱乐 公司 的 系统 发 动 攻击 ,致使 一 亿 多 名 索尼 公司 用 户 的 个 人 账户 被 资 , 受 害 用 户 规模 庞 
大 。 在 这 起 严重 的 安全 事件 中 ,攻击 者 并 没有 攻击 Amazon 公司 的 云 服 务 器 ,而 是 利用 
Amazon 公司 的 服务 器 来 发 起 攻击 。 事 实 上 ,这 种 使 用 租赁 或 劫持 的 服务 器 进行 恶意 攻 
击 的 手段 是 攻击 者 经 常 使 用 的 ,攻击 者 经 党 把 云 作 为 攻击 基地 ,因为 利用 云 发 动 攻 击 不 容 
易 被 追踪 , 云 服务 供应 商 很 难 侦 测 其 云端 服务 器 内 部 的 违法 行为 。 

男 外 , 云 计算 还 很 容易 被 用 来 当 作 攻击 的 跳板 ,例如 ,攻击 者 会 利用 云 服务 来 控制 伪 
尸 网 络 病毒 ,通过 云 执行 其 命令 和 控制 功能 。CA Technologies 公司 网 络 安全 业务 团队 
的 全 究 工程 师表 示 ,他们 的 团队 发 现 有 攻击 者 利用 AWS EC2 云 服务 来 控制 变种 的 Zeus 
bot(CZbot) 僵尸 网 络 病毒 ,攻击 者 首先 将 用 来 构造 僵尸 网 络 的 Zbot 变种 病毒 植 人 一 些 合 
法 网 站 ,再 用 电子 邮件 传送 可 以 跳 转 到 这 些 合法 网 站 的 链接 ,一 旦 用 户 打 开 链 接 ,就 会 自 
动 下 载 Zbot 病毒 。 这 些 病毒 会 与 攻击 者 用 于 控制 僵尸 网 络 的 云 服务 占 进 行 通信 ,攻击 者 
因此 可 以 利用 云 服务 来 操控 整个 僵尸 网 络 。 


3. 通过 云 计 算 进 行 间 诬 活动 
云 计算 对 于 海量 数据 的 监管 能 力 是 有 限 的 ,因此 一 些 情报 人 员 就 利用 云 计算 的 这 个 
缺陷 , 信 助 云 计算 基础 服务 进行 隐蔽 通信 ,或 运用 拉 术 手段 在 Ghost 虚拟 机 上 部 演 间 诬 
程序 。 所 谓 Ghost 虚拟 机 ,是 指 那些 被 服务 商 认为 已 经 销毁 而 不 再 进行 管理 ,但 实际 仍 
然 处 于 活动 状态 的 虚拟 机 。 曾 有 美国 国家 安全 局 (National Security Agency, NSA) 的 官 
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员 在 接受 专访 时 表示 ,NSA 已 经 开始 使 用 云 计 算 进 行 现代 化 的 间谍 信息 活动 。 情 报 人 员 
往往 利用 合法 用 户 的 渠道 ,堂而皇之 地 将 云 中 的 文件 进行 加 密 存 储 , 并 将 其 共享 给 任何 一 
个 可 以 连接 到 云 服 务 的 同伴 ,用 这 种 方式 可 以 让 传递 的 信息 不 被 发 现 。 美国 这 种 利用 去 
计算 为 间谍 活动 提供 强大 计算 和 存储 能 力 的 思路 很 有 可 能 会 被 恐怖 分 子 利用 ,一 旦 云 计 
算 被 恐怖 分 子 用 来 传递 情报 ,为 恐怖 活动 提供 支持 ,那么 后 果 将 不 堪 设 想 。 


2.1.3 云 计 算 安 全 问题 总 结 反 思 


从 本 章 前 面 的 内 容 可 以 看 到 ,自从 云 计 算 问世 以 来 ,各 种 各 样 的 云 安全 事件 就 层 出 不 
穷 , 宕 机 事件 .数据 丢失 或 泄露 . 云 服务 商 故 障 等 频频 发 生 ,攻击 者 对 云 计算 资 源 的 滥用 也 
越 来 越 频 繁 。 这 一 系列 的 云 安全 问题 让 用 户 对 云 计算 充满 了 质疑 和 担忧 , 云 计算 的 安全 
问题 ,尤其 是 公有 云 的 安全 问题 ,成 为 困扰 云 服 务 商 、 云 用户 和 政府 部 门 的 重大 难题 ,也 成 
为 阻碍 云 计算 进一步 发 展 的 最 大 障碍 , 云 计算 在 全 球 范围 内 的 进一步 推广 阻力 重重 。 

尽管 目前 云 计 算 的 发 展 尚未 成 熟 ,仍然 存在 诸多 不 确定 因素 ,但 它 作为 一 种 具有 革命 
性 和 创新 性 的 新 型 计算 模式 ,具备 简单 易 用 .数据 处 理 能 力 强大 .海量 数据 存储 、 高 可 扩展 
性 .价格 低廉 等 独特 优势 ,能 够 为 用 户 提供 更 加 高 效 和 低 成 本 的 服务 ,因此 相 较 于 传统 的 
复杂 而 昂贵 的 数据 中 心 ,很 多 企业 还 是 更 愿意 采用 云 计算 这 种 新 的 IT 技术 来 加 快 企业 
自身 的 发 展 。 当 然 , 在 云 计算 尚未 成 熟 的 背景 下 ,企业 在 使 用 云 计算 的 过 程 中 难免 会 遇 到 
各 种 安全 问题 ,企业 自身 也 需要 承担 一 定 的 安全 风险 。 因 此 ,企业 也 应 该 制定 相应 的 措施 
来 应 对 各 种 安全 风险 ,例如 ,只 把 非 关 键 的 数据 交 由 云 服 务 提供 商 托管 ,同时 使 用 多 家 云 
服务 提供 商 提供 的 服务 以 保证 业务 的 连续 稳定 ,等 等 。 考 虑 到 云 安全 间 题 的 普遍 性 ,现在 
企业 和 政府 在 公有 云 和 混合 云 的 选择 上 更 加 小 心 谨慎 ,他 们 更 倾向 于 投入 更 多 的 资金 成 
本 来 搭建 安全 性 和 可 靠 性 更 高 的 私有 云 。 

云 计算 在 本 质 上 是 信息 系统 的 延伸 和 发 展 ,而 所 有 基于 互联 网 的 信息 服务 系统 都 一 
定 存在 着 自己 的 安全 问题 和 安全 风险 , 云 计算 在 继承 信息 系统 优势 的 同时 也 不 可 避免 地 
会 引入 一 些 缺 陷 。 云 计算 作为 一 种 具有 革命 性 的 新 型 计算 模式 ,与 传统 的 计算 模式 相 比 ， 
具有 计算 力 超 强 、 服 务 化 、 资 源 虚 拟 化 等 特有 属性 ,因此 ,除了 传统 IT 基础 设施 所 面临 的 
风险 和 威胁 外 , 云 计算 还 会 面临 自身 特有 的 新 的 安全 威胁 ， 

传统 的 IT 系统 是 封闭 的 ,对 外 暴露 的 只 有 网 站 ,邮件 服务 器 等 少数 接口 ,因此 只 需 
要 在 重要 的 节点 上 设置 防火 墙 等 安全 设备 ,在 物理 上 和 逻辑 上 划分 好 安全 域 ,定义 好 安全 
边界 ,就 可 以 比较 有 效 地 保护 系统 的 安全 。 但 在 云 环 境 下 , 云 是 暴露 在 公开 的 网 络 中 的 ， 
任何 一 个 节点 都 可 能 受到 攻击 ,再 加 上 云 环境 采用 多 租户 和 虚拟 化 技术 ,打破 了 传统 物理 
边界 ,所 以 传统 基于 安全 边界 的 措施 已 经 不 能 有 效 地 保护 云 环境 的 安全 了 。 

另外 ,与 传统 IT 系统 数据 存储 在 本 地 或 内 网 不 同 , 云 计算 中 的 数据 保存 在 云 中 , 数 
据 的 存储 和 安全 完全 由 云 服务 提供 商 负责 ,这 种 直接 将 数据 交 由 第 三 方 管理 的 方式 存在 
着 很 大 的 安全 风险 。 还 有 , 云 计算 以 服务 的 形式 为 用 户 提供 计算 资源 ,服务 的 可 用 性 和 保 
密 性 都 直接 影响 着 云 计算 的 安全 ,整个 服务 的 生命 周期 都 需要 进行 安全 保障 。 此 外 ,传统 
IT 业务 一 般 规模 较 小 ,只 需要 保护 小 规模 的 软 硬 件 和 数据 安全 ; 相 比 之 下 , 云 的 业务 规模 
要 大 得 多 , 云 安全 需要 保护 分 布 式 数据 中 心 的 服务 器 以 及 各 服务 器 之 上 的 软 硬 件 和 相关 
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业务 ,不仅 要 保障 基础 设施 的 安全 ,还 需要 保障 云 问 应 用 的 安全 ,因此 云 安 全 的 防护 措施 
要 复杂 很 多 。 

云 计 算 的 安全 防护 有 两 点 基本 要 求 : 首先 是 数据 本 号 需要 加 密 存 储 ,其 次 是 云 服务 
提供 商 需 要 和 云 服务 的 安全 防护 提供 商 分 离 。 目 前 传统 的 安全 防护 措施 已 经 不 能 有 效 地 
保护 云 计 算 的 安全 , 云 服务 提供 商 需要 对 传统 安全 措施 进行 扩充 和 优化 ,或 采用 全 新 的 安 
全 措施 ,不 断 完善 云 服务 质量 ,增强 服务 的 可 靠 性 和 稳定 性 ,使 得 云 服 务 整体 的 安全 性 有 
所 提升 。 通 过 归纳 以 往 发 生 的 云 安全 事件 可 以 发 现 ,引发 云 安 全 事故 的 原因 主要 涉及 资 
源 的 配置 管理 访问 控制 \ 云 安全 漏洞 ,物理 安全 防护 等 多 个 方面 , 云 服 务 提供 商 需 要 着 力 
关注 以 下 几 个 安全 问题 : 

(1) 云 计算 服务 平台 自身 的 安全 (包括 物理 环境 的 安全 网络 与 主机 的 安全 ) 以 及 服 

(2) 云 计 算 用 户 数据 和 应 用 的 安全 性 和 保密 性 ,包括 用 户 数据 的 安全 存储 与 隔离 、 保 
护 传 输 中 信息 的 完整 性 和 保密 性 等 。 

(3) 云 计 算 用 户 的 身份 认证 和 授权 管理 ,包括 用 户 的 接 人 认证 .访问 策略 的 制定 等 。 

(4) 云 计 算 资 源 的 滥用 。 


2 云 计 算 面 临 的 安全 威胁 


2.2.1 基本 的 云 计 算 安 全 威胁 


作为 一 种 新 型 的 计算 模式 , 云 计算 有 传统 计算 模式 所 不 具备 的 高 灵活 性 .大 规模 、 分 
布 式 ,海量 存储 等 特性 , 它 在 给 用 户 市 来 方便 .局 效 、 优 质 的 服务 的 同时 ,也 引入 了 许多 新 
的 安全 威胁 。 此 外 , 云 计 算 日 里 具有 复杂 的 架构 ,涉及 众多 的 技术 ,并 且 云 计算 环境 中 的 
言 任 边 界 具 有 不 确定 性 ,因此 云 计 自在 安全 方面 仍然 存在 很 多 问题 。 

毅 见 的 云 计算 安全 威胁 主要 包括 基础 设施 层面 的 安全 威胁 .数据 层面 的 安全 威胁 应 
用 层面 的 安全 威胁 以 及 管理 层面 的 安全 威胁 。 下 面 就 对 这 几 个 安全 威胁 逐一 进行 介绍 。 


1. 基础 设施 层面 的 安全 威胁 

云 计 算 基 础 设施 是 文 撑 云 计算 服务 的 软 便 件 体 系 , 它 包括 物理 基础 设施 和 虚拟 基础 
设施 。 虚 拟 基 础 设施 是 在 物理 基础 设施 的 基础 上 利用 虚拟 化 技术 构建 的 ,包括 CPU 、 存 
储 、 网 络 .操作 系统 等 软 便 件 资源 。 云 计算 基础 设施 是 云 计 算 模 式 的 基础 文 撑 , 各 种 云 服 
务 和 云 应 用 都 要 建立 在 云 计 算 基 础 设施 上 ,因此 要 保障 云 计 算 环 境 的 安全 ,必须 首先 确保 
云 计 算 基 础 设施 的 安全 和 可 信 。 

云 计 算 基 础 设施 采用 分 层 架构 ,分 为 以 下 4 层 ; 最 底层 是 CPU 内存、 网 络 设备 等 便 
件 设 施 ; 上 一 层 包 含 虚 拟 化 眶 理 软 件 , 如 虚拟 机 管理 如 (Hypervisor) 等 ,是 虚拟 化 的 基础 ; 
再 上 一 层 是 虚拟 资源 ,包括 虚拟 网 络 、 虚 拟 计算 能 力 、 虚 拟 化 操作 系统 等 ;再 上 一 层 是 与 云 
相关 的 管理 软件 ,包括 云 管 理 堪 组件. 云 安 全 管理 组 件 . 计 费 管理 组 件 等 ,用 以 确保 云 计算 
环境 安全 和 规范 。 
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与 传统 基础 设施 相 比 ,新 技术 和 新 服务 模式 的 引入 使 云 计 算 基 础 设施 具有 许多 新 特 
征 , 这 些 特征 在 提高 云 计算 性 能 的 同时 ,也 引入 了 许多 新 问题 ,这 使 得 云 计算 基础 设施 不 
仅 要 面临 传统 网 络 安全 威胁 ,如 网 络 攻击 、 数 据 泄 露 等 ,还 要 面临 许多 新 的 安全 威胁 。 

目前 ,虚拟 化 技术 已 经 被 引入 到 大 多 数 云 环境 中 ,尽管 虚拟 化 有 助 于 增强 云 计 算 基 础 
设施 提供 多 租户 云 服务 的 能 力 , 玫 助 云 计 算 实现 资 源 共 享 , 提 高 基础 设施 资源 利用 率 等 ， 
但 它 也 融 来 了 许多 新 的 安全 威胁 ,例如 虚拟 机 跳跃 和 虚拟 机 逃逸 这 两 种 典型 的 针对 
Hypervisor 的 攻击 。 其 中 ,虚拟 机 跳跃 是 指 信 助 与 目标 虚拟 机 共 至 相同 物理 便 件 的 其 他 
虚拟 服务 喜来 攻击 目标 虚拟 机 ;虚拟 机 逃逸 是 指 利 用 箱 主 机 或 Hypervisor 的 漏洞 获取 其 
控制 权限 ,进而 攻击 虚拟 化 平台 上 的 其 他 和 窒 主 机 或 虚拟 机 。 此 外 ,拒绝 服务 攻击 是 攻击 者 
攻击 云 计算 基础 设施 的 主要 类 型 之 一 ,一 些 恶 意 用 户 利 用 系统 的 漏洞 ,通过 回 服务 央 发 送 
大 量 训 无 意义 的 服务 请 求 以 消耗 服务 器 大 量 的 计算 能 力 , 从 而 导致 服务 器 拒绝 正常 的 服 
务 器 请 求 。 在 云 计 算 环 境 下 ,用户 的 数据 和 应 用 存储 在 云 数 据 中 心 ,拒绝 服务 攻击 使 得 用 
户 无 法 正常 访问 这 些 资源 ,这 会 严重 影响 企业 业务 的 正常 运作 。 一 些 非 亚 意 的 行为 也 可 
能 导致 严重 后 果 ,例如 云 基础 设施 的 配置 错误 ` 云 基础 设施 资源 分 配 算法 不 合理 等 。 


2. 数据 层面 的 安全 威胁 

在 云 计 算 模 式 下 ,用户 将 所 有 数据 存放 在 云 问 , 云 服务 提供 商 全 权 负 贡 数 据 的 存储 和 
安全 省 理 。 在 这 种 模式 下 ,用户 将 企业 的 重要 数据 和 应 用 完全 交 由 第 三 方 负 贡 管理 。 云 
服务 提供 商 能 否 确保 其 内 部 的 安全 管理 .职责 划分 和 审计 追踪 ,能 否 保证 海量 数据 存储 的 
安全 ,能 否 避 免 多 用 户 共存 引起 的 淤 在 数据 风险 ,能 否 你 证 数据 在 传输 过 程 中 不 和 锌 和 静 取 和 
贷 改 ,等 等 , 秆 直接 影 响 着 用 户 数据 的 安全 。 这 些 数 据 可 能 包含 用 户 的 个 人 隐私 、 企 业 的 
敏感 信息 和 政府 的 机 密 数 据 等 重要 信息 ,一 旦 被 云 服务 提供 商 舌 探 或 泄露 ,或 是 在 使 用 云 
服务 期 间 和 被 攻击 者 攻击 ,必然 会 导致 严重 的 安全 问题 ,危及 用 户 的 个 人 隐私 、 商 业 机 密 以 
及 国家 安全 。 因 此 ,数据 安全 是 云 计算 中 需要 重点 考虑 和 关注 的 一 个 安全 问题 。 

云 计算 具有 多 租户 ,动态 性 、 无 边界 以 及 流动 性 等 特点 ,这 些 特点 使 得 云 计 算 环 境 下 
的 数据 存在 看 许多 不 确定 性 ,数据 在 存储 ,传输 和 使 用 的 过 程 中 都 面临 大 一 定 的 安全 威 
胁 , 其 中 数据 泄露 和 数据 丢失 较为 突出 ,用 户 数 据 的 隐私 保护 面临 大 巨大 的 安全 风险 。 

亏 传 统 系统 相 比 , 云 计 算 在 数据 方面 最 大 的 特点 就 是 将 数据 交 由 第 三 方 且 接管 理 , 云 
服务 提供 商 负 贡 数 据 管理 与 维护 , 擎 握 了 数据 的 控制 权 , 因 此 云 服务 提供 商 的 内 部 员工 可 
以 利用 目 己 对 系统 的 操作 权限 或 一 些 已 知 的 内 部 源 洞 来 舌 探 存储 在 云 问 的 数据 ,检查 用 
尸 记 录 以 获取 用 户 的 隐私 信息 , 揽 改 数据 库 信 息 , 委 取 和 利用 用 户 信 息 , 等 等 ,这 任 使 用 户 
数据 面临 极 大 的 泄露 风险 。 

云 计算 中 采用 了 共有 至 技术 ,在 提高 唤 源 利用 率 的 同时 ,也 市 来 了 一 定 的 安全 威胁 。 如 
采 不 能 有 效 隅 离 不 同 用 户 的 数据 ,或 用 户 的 访问 权限 无 法 得 到 有 效 控 制 , 那 么 一 些 恶 意 攻 
击 者 就 会 越过 隔离 机 制 , 韭 法 访问 不 属于 日 己 的 数据 ,从 而 导致 用 户 数 据 泄露 。 

数据 的 传输 和 操作 不 当 也 会 市 来 一 定 的 安全 威胁 ,用 户 与 云 服 务 提供 商 之 间 的 数据 
交互 将 增加 数据 丢失 的 风险 。 首 先 , 云 计算 中 的 数据 是 通过 网 络 传输 的 ,而 网 络 往往 存在 
者 很 多 安全 源 洞 ,因此 攻击 痢 可 能 会 在 数据 传输 的 过 程 中 利用 网 络 安全 汤 洞 入 侵 网 络 , 截 
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获 大 量 的 传输 数据 ,甚至 对 截获 的 数据 进行 自 改 或 删除 ,这 些 都 严重 破坏 了 用 户 数据 的 机 
密 性 、 完 整 性 和 真实 性 。 其 次 ,在 数据 传输 的 过 程 中 ,硬件 设备 的 损毁 ,电磁波 的 干扰 等 也 
会 导致 数据 泄露 ,破坏 数据 的 机 密 性 。 最 后 ,在 对 数据 的 操作 过 程 中 ,例如 数据 查询 或 输 
入 输出 时 ,由 于 朴 忽 大 意 等 原因 而 对 数据 采取 了 不 当 的 操作 ,导致 数据 在 没有 预先 进行 备 
份 的 情况 下 被 删除 或 清空 等 ,都 会 造成 云 计 算数 据 丢失 ,影响 数据 的 安全 。 


3. 应 用 层面 的 安全 威胁 

在 云 计 算 体 系 中 , 云 服务 提供 商 以 服务 的 形式 回 用 户 提 供 计 算 、 存 储 、 网 络 和 其 他 资 
源 , 由 于 云 计算 环境 完全 骏 露 在 公开 的 网 络 中 ,而 网 络 中 总 是 不 断 清 现 各 种 病毒 、 木 马 等 
恶意 代码 ,因此 云 服 务 在 云 计 算 环 境 中 运行 时 会 时 刻 面临 多 种 安全 威胁 ,这 些 安 全 威胁 涉 
及 服务 安全 、Web 安全 ,里 份 认证 ,访问 控制 等 多 个 方面 。 此 外 ,虽然 云 服务 提供 两 对 外 
提供 服务 ,但 它 自 喘 也 可 能 购买 由 其 他 云 服 务 提供 商 提 供 的 服务 ,因此 ,用 户 在 使 用 云 服 
务 的 时 候 可 能 会 间接 涉及 多 个 云 服务 提供 商 , 多 层 转 包 让 云 计算 环境 更 加 复 沪 ,同时 也 市 
来 了 更 多 的 安全 威胁 。 

为 了 使 用 户 能 够 正常 地 与 云 平 台 交 互 , 云 计算 服务 通常 会 提供 一 组 控制 着 大 量 虚 拟 
机 的 应 用 程序 编程 接口 ,甚至 云 服 务 提供 商会 使 用 一 些 接口 来 控制 整个 云 系统 。 而 一 且 
这 些 接口 存在 安全 漏洞 并 被 攻击 者 利用 来 发 动 攻 击 , 则 会 引发 灾难 性 的 后 果 。 

目前 ,大 部 分 云 计算 服务 提供 的 API 痢 存在 安全 风险 ,远程 访问 机 制 以 及 Web 浏 希 
髓 的 使 用 催生 了 新 的 安全 威胁 ,给 接口 市 来 了 新 的 安全 漏洞 。 攻 击 者 往往 会 利用 这 些 漏 
洞 发 起 跨 站 脚本 攻击 或 者 跨 站 请 求 伪造 等 。 

比较 常见 的 安全 漏洞 是 跨 站 脚本 漏洞 ,如果 Web 应 用 程序 直接 将 用 户 的 执行 请 求 送 
回 浏 览 亏 而 不 对 其 进行 加 蜜 ,那么 攻击 者 可 以 在 获取 用 户 的 Cookie 或 Session 信息 后 ,下 
接 伪 造 用 户 的 身份 登录 系统 并 非法 获取 信息 。 命令 注入 漏洞 也 比较 常见 ,攻击 者 会 利用 
程序 设计 的 缺陷 ,在 提交 给 服务 痛 的 请 求 数据 中 插 和 人 恶意 的 命令 行 指 令 , 从 而 使 得 亚 意 代 
码 能 够 被 执行 。 另 外 ,SQL 注入 漏洞 也 是 很 第 见 的 安全 漏洞 ,攻击 者 会 将 SQL 命令 插入 
Web 表单 提交 或 页 面 请 求 的 查询 字符 串 中 ,从 而 欺骗 服 务 虽 执 行 恶 意 的 SQL 命令 。 此 
外 ,Web 应 用 程序 引入 恶意 文件 并 执行 ,Web 应 用 程序 本 身 的 文件 操作 功能 被 攻击 者 利 
用 来 获取 系统 资料 ,等 等 ,都 是 不 安全 的 接口 所 面临 的 安全 威胁 。 

身份 认证 和 访问 控制 是 任何 信息 系统 为 了 维持 系统 安全 都 必需 的 基本 功能 ,它们 通 
过 识别 用 户 吴 份 来 确定 用 户 对 系统 资源 的 访问 能 力 及 范围 ,防止 云端 数据 被 非法 访问 和 
非法 使 用 ,降低 安全 威胁 ,减少 可 能 市 来 的 损失 。 传 统 IT 系统 的 信任 边界 几乎 是 静止 
的 , 且 处 于 系统 管理 人 员 的 监控 之 下 ,因此 号 份 认证 和 访问 控制 技术 基本 上 可 以 有 效 地 保 
护 系 统 资 源 。 然 而 ,在 云 计算 环境 中 , 云 病 数据 的 位 置 具 有 不 确定 性 ,用 户 与 云 服务 提供 
商 之 间 的 信任 边界 模糊 ,使 用 云 计 算 服 务 的 用 户 规模 庞大 ,这 些 都 使 得 云 计 算 中 的 身份 认 
证 和 访问 控制 相 较 于 以 往 要 复 洒 很 多 ,如 何 实 现 跨 云 导 份 认证 和 和 省 理 、 如 何 安 全 而 及 时 地 
创建 和 删除 账户 信息 等 是 要 重点 关注 的 问题 。 

4. 管理 层面 的 安全 威胁 

在 云 计算 模 式 下 ,数据 的 所 有 权 和 管理 权 是 分 离 的 ,用 户 将 自己 的 应 用 和 数据 放 在 云 
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只, 交 由 第 三 方 云 服 务 提 供 商 管理 , 云 服务 提供 商 可 以 优先 访问 和 控制 这 些 数据 ,而 用 户 
本 身 则 失去 了 许多 影响 安全 问题 的 决策 权 和 管理 权 , 需 要 依赖 去 服务 提供 商 来 保护 存储 
在 云 关 的 数据 。 因 此 , 云 服务 提供 商 对 云端 数据 和 应 用 的 管理 规范 度 ,用户 与 云 服务 提供 
商 之 间 管 理 边界 及 责任 的 划分 ,以 及 服务 提供 商 对 双方 达成 的 合同 的 履行 情况 ,等 等 ,部 
耳 接 影响 着 云 环 境 下 用 户 的 数据 及 应 用 安全 。 

目前 , 云 计算 在 管理 规范 方面 仍 不 完善 ,相关 法 律 法 规 疝 不 健全 ,大 多 数 云 服 务 提供 
商 的 服务 水 平 协议 .安全 责任 .提供 的 管理 功能 .` 云 计算 服务 运行 情况 等 信息 缺乏 透明 性 ， 
云 计算 结构 的 复杂 性 、 实 现 方式 的 多 样 性 以 及 虚拟 化 技术 的 引入 ,使 得 用 户 与 用 户 之 间 的 
物理 边界 以 及 用 户 和 云 服务 提供 商 之 间 的 管理 界限 十 分 模糊 ,责任 划分 很 难 明 确 ,一 旦 发 
生 云 计算 安全 事故 ,司法 取证 会 面临 很 大 的 障碍 。 为 外 , 云 计 算 中 的 数据 具有 位 置 不 确定 
性 , 云 问 的 数据 和 应 用 可 能 分 布 在 志 界 上 不 同 的 国家 和 地 区 ,而 各 国有 着 不 同 的 司法 体 
系 ,不同 国家 对 于 数据 丢失 责任 .知识 产权 保护 、 数 据 的 公开 政策 等 的 司法 解释 是 不 一 样 
的 ,相关 法 律 法 规 的 差异 会 给 云 计 算 的 管理 市 来 浴 在 的 法 律 风 险 , 当 云 计 算 安 全 问题 出 现 
时 ,到 撒 应 该 锭 守 哪 一 方 制定 的 规则 ,到 撒 应 该 由 谁 来 承担 责任 ,都 是 很 棘手 的 问题 除 
此 以 外 , 云 服 务 提供 商 对 于 内 部 人 员 的 管理 也 至 关 重 要 ,一些 内 部 人 员 ,尤其 是 具有 高 级 
权限 的 运 维 和 管理 人 员 ,可 能 会 利用 目 身 拥有 的 权限 宪 探 用 户 数据 ,甚至 别 取 并 出 售 用 户 
的 数据 ,导致 用 户 数据 泄露 ,给 用 户 的 数据 安全 市 来 极 大 威胁 。 

2.2.2 云 安全 联盟 定义 的 安全 威胁 

2009 年 , 云 安全 联盟 (Cloud Security Alliance,CSA) 在 RSA 大 会 上 宣布 成 立 ,该 联 

盟 是 一 个 为 云 计算 提 供 安 全 保障 的 非 营 利 性 组 织 。2010 年 8 月 ,CSA 发 布 了 研究 报告 

Top Threads to Cloud Computing V1.0, 指 出 云 计 算 面 临 着 滥用 云 服 务 , 不 安全 的 API 
和 接口 . 共 至 隔离 问题 ,数据 丢失 和 泄露 数据 动 持 、 悉 童 的 内 部 员工 以 及 未 和 风 险 7 个 安 
全 威胁 。2013 年 2 月 ,CSA 对 以 上 报告 进行 了 更 新 ,发 布 了 人 研究 报告 The Notorious 
Nine:; Cloud Computing Top Threads in 2013 , 列 出 了 云 计 算 面 临 的 数据 泄露 、 数据 丢 
失 .数据 劫持 .拒绝 服务 攻击 .不 安全 的 API 和 接口 、 晋 意 内 部 员工 .滥用 云 服务 .共享 隔 
离 问 题 以 及 未 知 风 险 9 个 安全 威胁 。 在 2016 年 3 月 召开 的 RSA 大 会 上 ,CSA 又 发 布 了 
新 的 研究 报告 ,指出 云 计 算 面 临 的 12 个 安全 威胁 ,如 图 2-1 所 示 。 

下 面 对 这 12 个 安全 威胁 逐一 进行 介绍 。 


1. 数据 泄露 

在 云 计算 模式 下 ,用户 将 数据 存放 在 云 问 , 交 由 云 服 务 提 供 商 省 理 , 这 些 数据 可 能 
含 用 户 的 个 人 隐私 ,企业 的 敏感 信息 ,甚至 是 政府 机 密 数据 ,因此 ,一 旦 这 些 数 据 被 泄露 出 

去 ,将 会 危及 用 户 的 个 人 隐私 、 企 业 的 商业 秘密 甚至 国家 安全 。 另 外 , 云 服 务 器 中 存在 着 

大 量 的 用 户 数 据 ,一 旦 有 攻击 者 人 侵 , 导 致 数据 泄露 ,将 会 使 大 量 用 户 的 信息 安全 有 党 到 威 
胁 。 由 此 可 见 数 据 泄 露 对 用 户 的 危害 程度 。 网 络 因 其 日 身 具 备 的 开放 性 .匿名 性 .交互 性 
等 特点 而 存在 许多 安全 漏洞 ,恶意 病毒 及 木马 不 断 涌现 ,而 云 计 算 环境 是 完全 暴露 在 网 络 
中 的 ,因此 云 计算 环境 中 也 存在 着 许多 安全 威胁 。 另 外 ,数据 的 封装 以 及 数据 的 传输 协议 
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数据 泄露 元 据 或 号 份 验 证 | | 接口 和 API 锌 二 | | 系统 漏洞 被 利用 


得 到 攻击 或 破坏 客 攻 击 


共享 科技 带 来 的 


风险 SaaS 、PaaS 、IaaS 恶意 内 部 员工 


云 服 务 恶意 使 用 缺乏 尽职 调查 


高 级 持续 性 威胁 


分 布 式 拒绝 服务 
攻击 


图 2-1 CSA 于 2016 年 公布 的 12 个 云 计 算 安 全 威胁 


具有 开放 性 ,这 也 使 得 云端 的 数据 面临 者 极 大 的 泄露 风险 。 

CSA 在 2012 年 发 表 的 一 访 饶 究 文 草 中 ,描述 了 攻击 者 如 何 利 用 边 信 道 的 时 间 信 息 ， 
通过 入 侵 一 台 虚 拟 机 来 同时 获取 同一 服务 器 上 的 其 他 虚拟 机 的 私有 密 钥 。 事 实 上 , 随 着 
技术 的 不 断 发 展 ,如今 只 要 用 户 的 应 用 程序 存在 安全 漏洞 ,攻击 者 就 可 以 利用 这 个 安全 漏 
洞 发 起 攻击 ,从 而 获取 该 用 户 或 其 他 相关 用 户 的 数据 。 男 外 , 云 服务 提供 商 全 权 负 责 用 户 
数据 的 存储 和 安全 管理 , 擎 握 着 数据 的 管理 权限 ,一 些 拥有 高 级 权限 的 运 维 人 员 或 管理 人 
员 就 可 以 撕 探 \ 穷 取 其 至 出 售 用 户 的 数据 ,从 而 造成 用 户 数 据 泄 露 。 

为 了 应 对 数据 泄露 的 安全 威胁 ,CSA 给 出 了 一 些 建议 ,例如 云 服 务 商 可 以 对 API 执 
行 严格 的 访问 控制 策略 ,对 服务 请 求 者 进行 严格 的 身份 验证 ,并 对 进出 云 计算 环境 的 数据 
进行 严格 的 检查 ,对 传输 中 的 数据 进行 加 蜜 , 等 等 。 当 然 ,在 应 对 数据 泄露 威胁 的 同时 , 云 
服务 提供 商 或 用 户 所 采取 的 措施 也 可 能 会 市 来 新 的 安全 威胁 。 例 如 ,用 户 可 以 加 密 数 据 
以 降低 泄露 风险 ,但 一 旦 用 户 丢 失 了 加密 密 钥 , 则 可 能 无 法 再 查看 数据 。 


2. 凭据 或 身份 验证 遭 到 攻击 或 破坏 

为 了 保护 云端 数据 及 云 服务 的 安全 , 云 服务 提供 商 通 常会 采用 身份 认证 和 访问 控制 
的 方法 来 控制 用 户 对 于 云 计 算 资 源 的 访问 能 力 及 施 围 。 一 般 情 况 下 , 云 服 务 提 供 商 会 给 
用 户 分 配 账户 和 密码 (密码 也 可 以 由 用 户 目 行 设 置 ) ,各 个 账户 拥有 不 同 的 云 计 算 资 源 访 
问 权 限 ,用 户 可 以 使 用 分 配 到 的 账户 及 设置 的 密码 来 通过 系统 验证 ,获得 云 计 算 资源 及 服 
务 。 虽 然 身 份 验证 和 访问 控制 能 比较 有 效 地 保护 云 计算 资源 ,但 是 如 果 映 份 管理 系统 过 
于 脆弱 ,并 且 缺 乏 灵 活 的 可 扩展 性 , 则 极 易 受到 攻击 者 攻击 。 

CSA 曾 发 布 过 一 份 报告 ,声称 :“ 之 所 以 会 出 现 数据 泄露 或 给 攻击 者 提供 可 乘 之 机 ， 
是 由 于 缺少 可 灵活 扩展 的 号 份 管理 系统 ,没有 使 用 多 因 了 于 验证 ,使 用 了 弦 密 码 ,加密 密 钥 、 
密码 以 及 证 书 埠 少 日 帝 的 日 动 轮 换 机 制 . "从 中 可 以 看 到 ,可 灵活 扩展 的 身份 管理 系统 、 多 
因子 验证 、 受 保护 的 加 密 密 钥 等 对 于 数据 安全 十 分 重要 。 例 如 , 某 个 工作 职能 发 生 改 变 或 
该 职位 的 用 户 离 职 ,管理 人 员 可 能 会 忘记 修改 或 删除 该 用 户 的 访问 权限 ,一 些 恶 意 用 户 可 
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能 会 利用 这 些 账户 权限 来 获取 、 自 改 或 删除 企业 数据 ,而 可 灵活 扩展 的 特性 能 够 让 身份 管 
理 系统 立即 更 新 访问 权限 ,从 而 避免 类 似 情况 的 发 生 。 另 外 ,一 些 云 服务 提供 商 可 能 会 将 
客户 的 数据 以 及 私 钥 等 重要 数据 集中 存储 ,以 便于 管理 ,这 种 含有 重要 数据 的 集中 式 存储 
机 制 通常 会 成 为 攻击 者 攻击 的 目标 ,攻击 者 可 能 会 利用 系统 漏洞 窃取 账户 密码 ,对 身份 验 
证 进行 攻击 。 除 此 之 外 ,身份 验证 系统 最 好 采用 多 因子 认证 以 保证 用 户 认证 的 可 靠 性 , 美 
国 第 二 大 医疗 保险 服务 商 Anthem 公司 就 曾经 因为 没有 部 署 多 因子 认证 而 导致 公司 的 数 
据 遭 到 泄露 ,攻击 者 通过 盗 取 用 户 凭据 来 获取 数据 ,从 而 窃取 了 超过 8000 万 个 客户 的 个 
人 信息 。 


3. 接口 和 API 被 黑客 攻击 

为 了 让 用 户 能 与 云 计算 服务 进行 正常 交互 以 及 能 对 云 服务 进行 配置 管理 及 监控 等 ， 
云 服 务 提供 商 通 常会 提供 一 组 应 用 程序 编程 接口 。 接 口 和 API 的 安全 对 于 云 服务 的 安 
全 性 和 可 用 性 至 关 重 要 , 云 服务 的 号 份 认证 ,访问 控制 ,活动 监测 等 都 需要 依赖 API 的 安 
全 性 ,一旦 接口 和 API 存在 漏洞 并 被 攻击 者 利用 来 发 起 攻击 ,将 严重 威胁 云 计 算 的 安全 。 

目前 ,许多 云 服 务 的 接口 及 API 存 在 着 安全 漏洞 ,缺乏 安全 保障 , 极 易 被 攻击 者 攻 
击 。 接 口 和 API 通 稼 是 一 个 系统 最 容易 又 露 的 地 方 , 因 为 它们 往往 需要 通过 开放 的 互联 
网 进行 访问 ,而 互联 网 因 其 自身 的 开放 性 .匿名 性 .交互 性 等 特点 而 存在 着 许多 安全 漏洞 
恶意 病毒 及 木马 不 断 涌现 ,因此 接口 和 API 不 可 避免 地 会 面临 很 多 安全 威胁 。 另 外 ,为 
了 追赶 项 目 进度 ,一 些 云 开 发 团队 盲目 追赶 开发 速度 而 忽视 代码 的 质量 及 安全 性 ,从 而 导 
致 云 服务 的 接口 存在 着 很 多 安全 隐患 。 除 此 之 外 ,API 中 第 三 方 插件 的 引入 也 在 一 定 程 
度 上 增 大 了 安全 风险 。 为 了 应 对 攻击 者 对 接口 及 API 的 攻击 ,CSA 建议 云 应 用 开发 人 员 
仔细 分 析 云 计算 提供 商 接口 的 安全 模型 ,了 解 与 API 关联 的 性 能 要 求 及 限制 ,避免 越界 
访问 .内 存 泄 露 等 设计 问题 。 另 外 ,在 云 计 算 应 用 运行 过 程 中 ,必须 严格 验证 用 户 身份 ,并 
对 接口 实施 严格 的 访问 控制 。 


4. 系统 漏洞 被 利用 

所 请 系统 汤 洞 , 指 的 是 程序 中 可 以 被 攻击 者 利用 的 错误 或 缺陷 ,攻击 者 利用 这 些 涯 洞 
能 够 渗入 到 计算 机 系统 中 ,从 而 获取 系统 数据 和 对 系统 的 控制 权限 ,或 者 对 系统 中 服务 的 
运行 进行 干扰 。 在 云 计 算 中 ,来 目 不 同 企 业 和 组 织 的 系统 可 以 被 放 在 相 邻 的 位 置 上 ,以 一 
种 接近 彼此 的 方式 共享 内 存 .数据 库 等 资源 ,这 种 模式 会 给 系统 带 来 许多 新 的 安全 漏洞 。 
男 外 ,未 打上 补丁 的 安全 汤 洞 也 存在 看 很 大 的 安全 隐患 。 因 此 ,系统 汤 洞 已 经 成 为 影响 云 
计算 安全 的 一 个 大 问题 。 

为 了 应 对 系统 汤 洞 可 能 给 云 计算 系统 市 来 的 安全 威胁 ,最 好 的 解决 方法 就 是 定期 扫 
摘 漏 洞 , 安 闭 并 及 时 更 新 处 本 ,并 且 迅 速 跟 蹊 和 报告 系统 的 安全 威胁 ,这 些 基 本 的 IT 流 
程 有 助 于 减轻 系统 漏洞 市 来 的 危害 。 据 CSA 称 , 与 其 他 IT 文 出 相 比 ,修复 系统 漏洞 的 成 
本 较 小 ,通过 IT 流程 来 发 现 和 修补 源 润 的 费用 远 远 低 于 潜在 的 损失 。 因 此 ,一 些 受 到 相 
应 规范 严格 监管 的 领域 ,例如 银行 和 政府 机 构 , 应 该 定期 对 系统 漏洞 进行 扫 拉 ,并 及 时 给 
系统 中 的 安全 漏洞 打上 补丁 ,这 样 才能 尽 可 能 避免 那些 利用 系统 漏洞 发 起 的 攻击 ,或 义 量 
减少 攻击 造成 的 伤害 。 
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5. 账户 被 动 持 

所 谓 账 户 被 支持 ,是 指 攻击 者 冒 用 云 中 合法 用 户 的 账户 , 盗 取 用 户 的 身份 和 数据 并 将 
这 些 信息 共享 给 其 他 恶意 用 户 。 在 云 计算 环境 中 ,攻击 者 常常 利用 诸如 网 站 钓鱼 、 欺 诈 及 
软件 漏洞 等 攻击 手段 来 支持 用 户 的 账号 。 在 此 基础 上 ,如 果 攻 击 者 再 发 起 针对 密码 全 证 
的 重 放 攻击 ,那么 其 破坏 性 和 人 危害 性 将 更 大 。 男 外 ,在 云 计 算 环境 中 ,一 旦 攻击 者 动 持 了 
用 户 账 户 并 获得 用 户 途 证 ,那么 他 就 能 鳃 听 用 户 的 活动 和 事务 ,操纵 交易 ,返回 虚假 信息 ， 
将 用 户 客 户 端 重 定 向 到 非法 站 点 ,等 等 ,甚至 利用 受害 者 的 账号 向 其 他 用 户 发 动 新 的 攻 
击 ,让 其 成 为 攻击 者 的 帮凶”。2011 年 ,有 攻击 者 成 功 地 利用 AWS EC2 云 服 务 擎 探 变 
种 的 Zbot 僵尸 网 络 病毒 ,他 们 通过 让 云 服务 执行 相关 指令 来 劫持 EC2 实例 ,并 利用 被 动 
持 的 EC2 实例 组 成 的 僵尸 网 络 来 执行 攻击 。 

为 了 降低 账户 和 服务 被 劫持 的 风险 ,CSA 建议 用 户 和 服务 之 间 禁 止 共 享 账 户 赁 证， 
并 且 在 身份 认证 时 采用 多 因子 的 强身 份 认 证 方案 。 男 外 , 云 服 务 提供 商 还 应 该 利用 主动 
监控 ,防御 技术 来 检测 未 经 授权 的 活动 ,并 能 够 提示 和 监控 用 户 的 异常 状态 。 


6. 恶意 内 部 员工 

在 信息 系统 中 ,除了 来 目 外 界 的 安全 威胁 之 外 ,组 织 内 部 也 存在 安全 威胁 。 从 组 织 内 
部 发 起 的 攻击 因 其 具备 逻辑 位 置 的 优势 ,可 以 渗透 到 外 部 攻击 所 不 能 到 达 的 区 域 , 因 而 有 具 
有 更 高 的 破坏 性 。 

在 云 计 算 环 境 中 , 云 服务 提供 商 的 内 部 员工 并 非 都 是 可 靠 的 ,一 些 员工 可 能 会 为 了 钱 
财 或 建立 商业 优势 而 利用 目 己 和 擎 握 的 系统 操作 权限 及 已 知 的 安全 漏洞 , 偷 宕 、 否 取 、 贷 改 
甚至 破坏 存储 在 云端 的 用 户 数据 。 而 随 春 云 服务 规模 的 不 断 扩 大 , 留 给 云 服务 提供 商 进 
行 后 台 检 查 的 时 间 也 越 来 越 少 ,因此 内 部 员工 的 恶意 行为 很 难 被 发 现 。2007 年 , Fidelity 
国民 信息 服务 公司 旗下 子 公 司 Certegy Check Services 就 有 一 名 高 级 数据 库 管 理 员 利用 
目 己 的 访问 权限 和 荔 取 了 大 约 850 万 个 客户 记录 ,并 将 这 些 客户 记录 以 50 万 美元 的 价格 出 
售 给 意图 利用 这 些 资料 进行 广告 投放 的 不 展商 家 ,从 而 导致 受害 用 户 受 到 大 量 垃 节 邮件 
及 垃圾 广告 的 干扰 ,其 至 有 些 用 户 的 信息 说 用 于 信息 诈骗 ,影响 十 分 何 劣 。 

为 了 应 对 企业 内 部 恶意 员工 市 来 的 安全 威胁 , 云 服 务 提 供 商 应 该 执行 严格 的 内 部 员 
工 管理 制度 ,要 不 断 地 监控 .审查 和 记录 员工 的 行为 。 另 外 ,还 应 该 实施 严格 的 身份 认证 
和 访问 控制 ,合理 地 为 员工 分 配 访 问 权 限 。 


7. 局 级 持续 性 威胁 

高 级 持续 性 威胁 (Advanced Persistent Threat, APT) 是 一 种 利用 先进 的 攻击 手段 对 
特定 目标 有 计划 地 进行 长 期 持续 性 网 络 攻击 的 攻击 行为 ,这 种 攻击 行为 往往 经 过 长 期 的 
经 营 和 策划 ,是 蓄 谋 已 久 的 “恶意 间谍 威胁 *。APT 往往 通过 鱼 又 式 网 络 钓 鱼 直接 攻 击 、 
预 冯 恶意 软件 的 USB 驱动 硕 以 及 使 用 不 安全 的 网 络 等 人 口 闯 透 到 企业 组 织 的 系统 中 。 
一 旦 APT 进入 系统 , 它 便 会 在 计算 基础 设施 上 建立 “根据 地 ”, 然 后 偷偷 甸 取 系统 里 的 数 
据 和 知识 产权 并 往外 传送 。 当 APT 潜入 系统 后 ,会 通过 网 络 进行 典型 的 横 癌 移动 ,与 网 
络 上 的 正常 流量 混杂 在 一 起 ,从 而 隐匿 自己 ,通常 很 难 被 检测 出 来 ,因此 云 服 务 提供 商 及 
云 用 户 都 应 该 采取 有 效 措 施 防范 APT。CSA 建议 企业 定期 组 织 员工 进行 培训 ,让 员工 
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了 解 最 新 的 网 络 攻击 行为 ,学 会 如 何 识别 鱼 叉 式 网 络 钓鱼 等 攻击 手段 ,从 而 避免 将 APT 
引入 企业 内 网 中 。 


数据 丢失 ,尤其 是 永久 性 的 数据 丢失 ,是 云 计算 中 一 个 比较 严重 的 安全 威胁 , 它 会 给 
用 户 造 成 严重 危害 ,也 会 给 云 服 务 提供 商 市 来 严重 的 监管 后 果 。 依 照相 关 法 律 法 规 , 云 服 
务 提供 商 必 须 存 储 某 些 数据 存档 以 备 核查 ,因此 这 些 数据 一 旦 丢失 , 云 服 务 提 供 商 可 能 会 
受到 政府 的 处 罚 。 

随 厦 云 服 务 拉 术 的 不 断 成 熟 , 由 云 服务 提供 商 的 错误 所 导致 的 永久 性 数据 丢失 已 经 
比较 少见 了 ,更 为 常见 的 是 攻击 者 对 云 基 础 设施 发 动 攻 击 并 永久 删除 云 中 的 数据 。 此 外 ， 
由 于 火灾 、 地震、 洪水 等 月 然 灾 害 , 云 数据 中 心 的 计算 基础 设施 可 能 遭 有 党 损毁 ,从 而 使 得 云 
冰 数 据 永 久 丢 失 。 另 外 , 云 服 务 提供 商 或 用 户 的 误 操 作 .数据 传输 错误 或 传输 过 程 中 的 攻 
击 者 攻击 也 是 造成 数据 永久 丢失 的 原因 。 还 有 一 种 更 严重 的 情况 是 ,如 果 用 户 在 将 数据 
上 传 到 云端 之 前 对 其 进行 加 密 , 但 是 由 于 加 密 密 钥 没有 得 到 很 好 的 保护 而 致使 其 丢失 ,和 那 
么 数据 也 将 永久 丢失 。 

为 了 防止 数据 永久 丢失 ,日 党 备份 和 异地 存储 是 必 不 可 少 的 措施 。 云 服务 提供 商 应 
该 避 循 确保 业务 持续 性 和 灾难 恢复 的 最 佳 实践 ,并 做 好 云 问 数据 的 日 党 备份。 云 服 务 提 
供 商 可 以 将 分 布 式 数 据 和 应 用 程序 托管 在 多 个 位 置 ,并 通过 多 重 备 份 来 增强 对 数据 的 你 
护 。 除 了 云 服务 提供 商 ,用 户 也 应 该 采取 一 些 措施 防止 数据 丢失 ,包括 保护 好 加 密 密 钥 ， 
防止 因 密 钥 丢 失 导 致 上 传 至 云端 的 加 密 数 据 丢 失 等 。 


9. 缺乏 尽职 调查 

一 个 企业 如 果 事 先 没有 进行 深入 全面 的 调查 人 研究 ,在 还 未 充分 理解 云 计算 环境 及 其 
相关 风险 的 情况 下 束 贸 然 来 用 云 计 算 服 务 , 那 么 它 极 有 可 能 会 面临 无 数 的 商业 ,金融 \ 技 
术 及 法 律 方面 的 风险 。 例 如 ,如 有 果 一 家 企业 的 开发 团队 在 对 云 技 术 的 相关 法 律 规范 还 不 
是 很 熟悉 的 情况 下 使 用 了 云 技 术 , 他 们 可 能 不 会 意识 到 合同 中 提 太 的 在 发 生 数 据 丢 失 或 
数据 泄露 的 情 帝 时 用户 及 云 服务 提供 商 应 如 何 承 担 贡 任 等 内 容 , 那 么 一 旦 发 生 数 据 泄露 
或 去 失 , 驶 可 能 会 遇 到 很 多 责任 纠纷 。 态 外 ,在 云 计算 体系 中 ,应 用 程序 需要 部 草 到 特 守 
的 云 上 ,如 采用 户 不 丈 悉 云 技 术 , 了 加 可 能 会 遇 到 操作 和 织 构 方面 的 问题 。 由 此 可 见 , 缺 乏 
尽职 调查 就 让 目 使 用 云 技 术 可 能 会 给 企业 审 来 很 多 风险 ,因此 企业 在 使 用 云 技 术 之 前 必 
须 进行 全 面 、 深 入 的 尽职 调查 ,明确 使 用 一 项 云 服务 时 企业 日 号 需 要 承担 的 潜在 风险 。 


10. 云 服务 恶意 使 用 

攻击 者 通 稼 会 使 用 云 服务 来 文 持 非法 活动 ,他 们 往往 利用 云 计 算 资 源 来 攻击 云 用 户 、 
企业 或 其 他 云 服务 提供 商 ,对 云 计算 安全 构成 巨大 威胁 。 笛 见 的 例子 包括 利用 计算 力 超 
强 的 云 服 务 妖 来 破解 普通 服务 器 所 无 法 破解 的 加 密 密 钥 ,利用 云 服务 器 发 动 分 布 式 拒绝 
服务 攻击 .挖掘 数字 货币 发送 垃 圾 邮件 及 钓鱼 邮件 、 实 施 大 规模 月 动 化 点 击 其 诈 等 。 例 
如 ,2017 年 11 月 , 某 大 型 云 平台 运 维 人 员 发 现 其 云 平 台 约 200 台 租 户 虚 拟 机 的 CPU 占 
用 异 稍 ,同时 租户 的 主机 也 受到 了 影响 。 平 台 运 维 人 员 通 过 分 析 发 现 服务 需 被 植 人 控 厂 
程序 ,删除 后 仍 会 自动 下 载运 行 。 这 些 恶 意 使 用 云 服务 的 行为 不 仅 会 减少 客户 的 实际 可 
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用 云 计 算 质 源 ,还 可 能 会 导致 云 服 务 业务 中 断 。 为 了 降低 云 服务 恶意 使 用 的 风险 , 云 
服务 提供 商 需要 采取 有 效 的 措施 来 识别 云 服务 被 恶意 使 用 类 型 ,例如 通过 审查 流量 来 
识别 DoS 攻击 ,并 确定 哪些 操作 是 恶意 使 用 的 服务 ,从 而 有 效 地 阻止 攻击 者 恶意 使 用 
云 服 务 。 


11. 分 布 式 拒绝 服务 攻击 

近年 来 ,分 布 式 拒绝 服务 攻击 已 经 成 为 云 计算 中 一 个 重要 的 安全 威胁 ,特别 是 在 云 计 
算 时 代 ,用 户 的 服务 经 和 常 保 持 7X24h 不 间断 运行 ,使 得 这 种 安全 威胁 更 加 严重 。 在 分 布 
式 拒绝 服务 攻击 中 ,攻击 者 通常 利用 某 些 网 络 协议 或 应 用 程序 的 缺陷 ,人 为 构造 不 完整 的 
数据 包 , 并 利用 多 人 台 云 主机 将 这 些 数据 包 发 问 攻 击 目标 ,造成 网 络 设备 或 服务 需 服 务 处 理 
时 间 很 长 ,有 限 的 处 理 需 能 力 、 内存. 带宽 磁盘 空间 等 系统 资源 被 消耗 过 多 ,从 而 使 云 计 
算 系 统 运行 缓慢 其 至 超时 ,用 户 的 服务 请 求 返 述 得 不 到 啊 应 ,严重 影响 云 服 务 的 可 用 性 ，。 
分 布 式 拒绝 服务 攻击 可 能 对 云 系 统 造成 非常 大 的 破坏 , 它 引 起 的 服务 停 用 会 让 云 服 务 提 
供 商 失去 用 户 , 还 会 使 按照 使 用 时 间 及 使 用 磁盘 空间 大 小 付费 的 用 户 遭 受 巨 大 损失 。 
般 而 言 ,分 布 式 拒绝 服务 攻击 往往 很 难 防御 ,因为 这 些 非法 流量 总 是 和 正常 流量 相互 混 
杂 ,而 且 没 有 固定 形态 ,因此 很 难 通过 特征 库 方 式 来 识别 它们 。 


2. 共享 科技 市 来 的 风险 

bi 圣 基 础 设施 、 平 台 和 应 用 程序 , 云 服务 提供 商 一 般 会 采取 虚拟 化 技术 和 多 
租 尸 技术 以 实现 多 个 用 户 在 同一 物理 主机 上 共有 至 数据 和 应 用 程序 ,这 样 既 能 融 效 利用 资 

又 能 为 用 户 和 云 服 务 供应 商 太 省 费用 。 但 是 , 共 至 技术 的 安全 源 洞 也 对 云 计 算 构成 了 
重大 的 安全 威胁 ,CSA 曾 在 报告 中 指出 :“ 共 孚 技术 的 安全 漏洞 很 可 能 存在 于 所 有 云 计 算 
的 交付 模式 中 ,不 论 构 成 数据 中 心 基础 设施 的 确 层 部 件 ( 如 处 理 融 .内 存 和 CPU 等 ) 是 不 
是 为 多 租户 架构 (laaS)、 可 重新 部 和 敬 的 平台 (PaaS) 或 多 用 户 应 用 程 厅 (SaaS) 提 供 了 隔离 
特性 。” 

在 云 计 算 的 多 用 户 模式 下 ,资源 隔离 以 及 用 户 访 问 控制 都 依赖 于 共享 的 管理 机 制 。 
如 来 这 个 省 理 机 制 存 在 安全 源 洞 ,那么 可 能 会 分 配给 合法 用 户 本 来 不 应 该 占用 的 资 
源 ,或 者 会 有 恶意 攻击 者 利用 管理 机 制 的 安全 漏洞 越过 隅 离 机 制 , 非 法 访问 其 他 用 户 
的 资源 ,这 些 都 会 导致 云 服务 的 可 用 性 和 服务 水 平 下 降 .一 些 合法 用 户 的 正 利 资源 补 
强占 、 共 至 机 制 秘 破坏 等 严重 后 果 。 为 外 , 云 服 务 系 统 中 的 单一 的 源 洞 或 错误 都 可 能 
会 导致 整个 云 服务 提供 商 的 云 服 务 被 攻击 。 例 如 ,如 有 果 云 计算 基础 设施 中 存在 看 隔离 
的 安全 潮 洞 , 当 系 统 中 的 和 个 用 户 和 被 攻击 痢 成 功 攻击 后 ,该 系统 中 的 所 有 质 源 及 用 户 
也 都 存在 看 被 攻击 的 风险 。 

为 了 应 对 共 孚 技术 市 来 的 风险 ,CSA 建议 云 服务 提供 商 采 用 深层 防御 的 策略 ,例如 ， 
在 所 有 的 主机 、 基 于 主机 和 网 络 的 和 人 侵 检测 系统 上 采用 多 因子 号 份 认 证 ,严格 实施 访问 控 
制 。 男 外 , 云 服 务 提供 商 应 该 采用 完善 的 监控 和 审计 机 制 以 实时 感知 和 检测 用 户 程序 的 
运行 状态 ,监控 并 及 时 处 理 未 经 授权 的 访问 行为 。 
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2 3 云 计 算 安 全 架构 及 关键 技术 


2.3.1 国内 外 云 安 全 体系 染 构 


云 计 算 具 有 虚拟 化 、 多 用 户 、 快 速 弹性 伸 纺 、. 按 需 上 月 助 服 务 等 特征 ,这些 特征 给 整个 仿 
县 系统 市 来 了 许多 新 的 安全 威胁 ,这 些 威胁 不 但 促使 访问 控制 .号 份 认 证 .漏洞 扫 摘 等 传 
统 信息 安全 技术 进一步 发 展 ,同时 也 催生 了 多 用 户 隐 离 .虚拟 机 隔离 . 共 圣 虚拟 化 资源 池 
的 数据 保护 等 许多 新 的 信息 安全 技术 。 因 此 , 云 计 算 安 全 技术 可 以 说 是 信息 安全 扩展 到 
云 计 算 范 畴 的 创新 领域 , 它 需 要 从 云 计算 以 构 的 各 个 层次 人 手 , 通 过 将 传统 安全 技术 己 云 
计算 环境 下 众生 的 新 信息 安全 技术 相 结 合 ,以 确保 云 计算 服务 的 运行 环境 更 加 安全 。 所 
以 ,建立 合理 完备 的 、 可 以 有 效 部 普 各 种 安全 技术 、 满 足 云 计算 的 各 种 安全 需求 的 云 安 全 
体系 染 构 ,是 解决 云 计算 安全 问题 的 关键 所 在 。 下 面 介 绍 国内 外 的 儿 个 云 安全 体系 框 染 。 


1. IBM 云 计 算 安 全 框架 

IBM 公司 提出 了 一 个 基于 企业 信息 安全 框架 的 云 安全 框架 ,该 框架 可 以 分 为 用 户 认 
正和 授权 数据 隅 离 和 保护 ,流程 省 理 和 分 级 控制 . 灾 备 以 及 服务 占 、 存 储 、 网 络 等 基础 设 
施 的 安全 保护 这 5 个 方面 ,下 面 分 别 对 这 5 个 方面 进行 介绍 。 

1) 用 户 认 证 和 授权 

给 用 户 分 配 映 份 并 授予 相应 权限 ,系统 允许 合法 用 户 进入 系统 和 访问 数据 ,同时 拒绝 


未 授权 用 户 对 系统 的 非法 访问 。 
2) 数据 隔离 和 保护 
对 数据 的 访问 权限 进行 管理 ,对 不 同 用 户 的 数据 进行 隔离 ,采用 快照 、 备 份 、 容 灾 等 手 


段 来 确保 存储 在 云 计 算 平 台 的 用 户 重 要 数据 的 安全 。 在 云 计算 中 ,多 个 用 户 共 至 同一 个 
存储 设备 。 因 此 ,为 了 保护 用 户 的 数据 和 信息 安全 ,系统 自 先 需要 隔离 不 同 用 户 的 数据 ， 
这 里 可 以 利用 存储 设备 自身 的 安全 措施 以 及 LUN Masking、LUN Mappingo 等 功能 来 
实现 。 其 次 ,对 存储 格式 完全 不 同 的 数据 进行 归 类 ,保护 和 监控 ,保护 关键 知识 产权 和 敏 
感 企业 信息 的 安 人 全。 再 次 , 云 服 务 提供 商 可 以 根据 用 户 的 数据 备份 需求 和 设 定 的 备份 策 
略 ,利用 专门 的 软件 , 目 动 在 线 或 离线 备份 及 恢复 用 户 的 文件 ,数据库 。 最 后 ,为 进一步 确 
保 效 据 及 运行 环境 的 安全 , 云 服 务 提 供 商 也 可 以 进行 操作 系统 级 的 整体 备份 。 

3) 流程 管理 及 分 级 控制 

对 在 云 计算 系统 中 运行 的 服务 ,例如 资源 的 申请 、 变 更 、 监 控 以 及 使 用 ,统一 采用 流程 
化 的 管理 ,同时 对 云 计算 资源 访问 和 管理 涉及 的 每 个 安全 领域 进行 多 级 权限 控制 ,一般 可 
以 分 为 机 房管 理 和 维护 人 员 云 计 算 管理 员 、 云 计算 维护 员 以 及 系统 管理 员 等 几 个 级 别 。 

4) 灾 备 

系统 统一 采用 集中 灾 备 的 方式 为 平台 用 户 提 供 业 务 和 数据 的 恢复 服务 ,用 户 可 以 在 


OO LUN 是 Logical Unit Number( 逮 辑 单 元 号 ) 的 缩写 。LUN masking 意 为 逻辑 单元 号 掩 码 ,LUN mapping 意 
为 逻辑 单元 号 映射 。 
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本 地 或 异地 建立 远 距 离 的 容 灾 中 心 , 容 灾 中 心 与 计算 中 心 通过 专用 网 络 连 接 , 从 而 实现 应 
用 和 数据 的 传输 。 


5) 服务 右 、 和 存储 、 网 络 等 基础 设施 的 安全 保护 
利用 虚拟 化 解决 方案 中 的 分 区 组 件 对 平台 中 的 服务 占 、 网 络 以 及 存储 等 基础 设施 进 
行 有 效 的 隔离 ,确保 在 同一 个 云 计 算 平 台 上 运行 的 进程 动态 链接 库 以 及 应 用 程序 不 会 相 
影响。 在 服务 器 隔离 中 ,对 于 重要 的 应 用 可 以 通过 双 机 备份 来 保障 应 用 的 可 靠 性 ,实现 
虚拟 机 之 间 的 热 迁 移 。 在 存储 隔离 中 ,可 以 采用 单独 的 存储 设备 在 物理 层面 隔离 数据 ,也 
可 以 采用 虚拟 统一 存储 ,通过 划分 LUN 并 设置 LUN 访问 权限 实现 在 逻辑 层面 保护 数据 
的 访问 安全 。 在 网 络 隔离 方面 ,可 以 通过 VLAN(Virtual Local Area Network ,虚拟 局 域 
网 ) 来 保证 网 络 的 安全 性 和 隔离 性 。VLAN 的 隔离 性 由 交换 机 及 各 主机 上 的 虚拟 化 引擎 
保证 , 它 可 以 提供 数据 链 路 层 的 隔离 ,保证 一 个 VLAN 的 帧 不 会 发 送 给 另 一 个 VLAN。 
男 外 ,VLAN 通过 虚拟 机 的 MAC 地 址 对 虚拟 机 进行 标识 ,因此 用 户 即 使 手动 改变 虚拟 机 
IP 地 址 ,也 无 法 改变 虚拟 机 所 处 的 VLAN。 通常 来 说 , 云 计算 管理 服务 器 以 及 各 物理 主机 
本 号 都 处 于 一 个 独立 的 VLAN 中 ,这 样 可 以 防止 用 户 从 目 己 的 项 目 环境 人 侵 到 系统 环境 。 


2. VMware 公司 云 计 算 安 全 框架 

VMware 公司 云 计算 安全 框架 主要 分 为 3 个 层面 。 第 一 个 层面 是 保护 云 计 算 中 的 虚 
拟 数据 中 心 ,使 它 免 受 外 围 网 络 的 威胁 。 第 二 个 层面 是 保护 整个 数据 中 心 内 部 的 安全 区 
域 。 第 三 个 层面 是 保护 虚 拟 机 的 安全 ,使 其 例 有 党 病毒 和 恶意 软件 的 攻击 。VMware 公司 
云 计 算 安 全 框架 由 VMware vShield Edge、 VMware vShield App、VMware vShield 
Endpoint 和 VMware vShield Zones 等 安全 产品 实现 ,这 些 安全 产品 受 VMware vShield 


Manager 管理 。 


3. Amazon EC2 安全 框架 

Amazon EC2 安全 框架 提供 了 在 多 个 层次 上 的 安全 保障 , 旨 在 保护 Amazon EC2 中 
的 数据 不 被 未 经 授权 的 系统 或 用 户 拦 截 。 该 框架 可 以 分 为 窒 主 操作 系统 、Guest 操作 系 
统 ( 虚 拟 化 操作 系统 ) 防火墙 \ Hypervisor、 实 例 隅 离 等 多 个 层面 ,下 面 逐 一 介绍 。 

1) 答 主 操作 系统 

云 计 算 平 台 的 管理 主机 一 般 是 经 过 特别 设计 、 建 造 、 配 置 和 加 固 的 ,以 保护 云 管理 平 
人 台 。 业 务 管理 人 员 对 管理 平台 进行 访问 时 需要 使 用 多 因 了 于 认证 的 方式 ,并 且 管 理 主机 的 
所 有 访问 都 会 被 写 入 日 志 并 被 审计 。 在 没有 访问 管理 平台 的 业务 需求 时 ,员工 对 这 些 管 
理 主机 及 相关 系统 的 访问 权限 会 被 撤销 。 

2) Guest 操作 系统 

Guest 虚拟 化 操作 系统 由 用 户 完 全 控制 ,用 户 具 有 root 权限 ,对 账户 服务 和 应 用 管理 
员 有 着 控制 权限 。 用 户 一 般 应 禁止 基于 密码 的 访问 方式 ,而 应 使 用 多 因子 认证 的 方式 来 
确认 访问 者 的 旱 份 。 

3) 防火 墙 

Amazon EC2 提供 了 一 个 完整 的 防火 墙 解决 方案 ,默认 的 防火 墙 设置 是 deny。 用 户 
需要 开放 上 自己 的 端口 ,可 以 从 协议 .服务 端口 . 源 IP 或 CIDR 块 等 角度 来 进行 限制 。 
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4) Hypervisor 

Amazon EC2 使 用 高 度 定 制 化 的 Xen Hypervisor ,完全 隅 离 Guest 和 Hypervisor。 
5) 实例 隔离 

利用 Xen Hypervisor 对 用 一 台 物 理 机 上 运行 的 不 同 实 例 进行 隔离 。 


4. 思科 公司 云 数据 中 心安 全 框架 

思科 公司 提出 了 一 个 云 计算 安全 框架 ,并 且 认 为 云 数 据 中 心安 全 的 关键 在 于 该 架构 
中 每 一 层 的 实现 。 思 科 公 司 提 出 的 云 计算 安全 框架 描 述 了 云 数据 中 心 的 威胁 模型 以 及 可 
用 于 降低 安全 风险 的 措施 ,显示 了 控制 合 规 和 SLA(Service-Level Agreement, 服 务 等 级 
协议 ) 组 件 的 关系 。 该 框架 主要 分 为 以 下 几 个 部 分 : 

(1) 威胁 。 包 括 服务 月 沉 、 入 侵 .数据 泄露 .数据 修改 以 及 吴 份 历 取 和 假冒 。 

(2) 云 数据 中 心 可 视 性 。 包 括 身 份 的 识别 .监控 及 关联 分 析 。 

(3) 云 数据 中 心 保护 。 包 括 虚 拟 机 的 加 固 和 隔离 ,以 及 网 络 的 隐 离 和 强制 。 


(4) 云 数据 中 心 控 制 。 包 括 安全 基线 .数据 划分 、 加 密生 上 略 、 虚 拟 机 操作 系统 的 管理 
和 访问 、 强 认证 、 里 份 和 访问 管理 , 单 点 登录 等 多 个 维度 。 


(5) 合 规 和 SLA。 包 括 多 方面 内 容 , 例 如 对 数据 和 系统 的 合 规 必 须 考 虑 分 类 需求 和 
隔离 等 。 


2.3.2 云 计 算 安 全 服务 体系 


云 计算 安全 服务 体系 由 一 系列 云 计 算 安全 服务 构成 ,根据 服务 所 属 层次 的 不 同 , 可 分 
为 云 基础 设施 安全 服务 . 云 安全 基础 服务 以 及 云 安全 应 用 服务 3 类 ,如 图 2-2 所 示 。 云 计 
算 安 全 服务 体系 提供 的 服务 平台 环境 可 以 满足 去 用 户 的 多 样 化 安全 需求 。 下 面 对 云 计算 
安全 服务 体系 包含 的 3 类 服务 进行 介绍 。 

1. 云 基础 设施 安全 服务 

云 基础 设施 安全 服务 是 云 计 算 体系 安全 的 基础 , 它 可 以 为 上 层 云 应 用 提供 安全 的 存 
储 、 网 络 .计算 等 IT 资源 服务 。 总 的 来 说 , 云 基 础 设施 安全 服务 可 以 分 为 两 个 方面 : 一 是 
能 够 抵御 来 自 外 部 的 恶意 攻击 ;二 是 能 够 向 用 户 证 明 云 服务 提供 商 能 对 云端 的 数据 和 应 
用 进行 安全 防护 ,并 具备 安全 控制 的 能 力 。 另 外 ,为 了 满足 用 户 不 同 的 安全 需求 , 云 基础 
设施 安全 服务 应 根据 防护 强度 .运行 性 能 和 管理 功能 等 划分 不 同 的 安全 服务 等 级 类 型 。 

在 抵御 来 自 外 部 的 恶意 攻击 方面 , 云 平台 应 该 综合 考虑 传统 计算 平台 在 各 层次 上 面 
临 的 安全 问题 以 及 云 平台 的 特有 属性 所 带 来 的 新 安全 问题 ,采取 全 面 .严密 的 安全 措施 来 
保障 云 基础 设施 的 安全 运行 。 在 物理 层面 应 该 要 考虑 计算 环境 安全 ;在 存储 层面 应 该 考 
虑 数据 加 密 、 备 份 .完整 性 检测 .灾难 恢复 等 ;在 网 络 层面 应 该 考虑 拒绝 服务 攻击 、IP 安 
全 、DNS 安全 以 及 数据 传输 安全 等 ;在 系统 层面 应 该 考虑 补丁 管理 .虚拟 机 安全 、 系 统 用 
户 身份 管理 等 安全 问题 ;在 应 用 层面 则 应 该 考虑 程序 的 完整 性 检验 和 漏洞 管理 等 。 

在 向 用 户 证 明 云 服务 提供 商 能 对 云端 的 数据 和 应 用 进行 安全 防护 并 具备 安全 控制 的 
能 力 方面 , 云 平台 可 以 做 的 包括 : 在 计算 服务 中 向 用 户 证 明 用 户 的 代码 是 在 受 保护 的 内 
存 中 运行 的 ;在 存储 服务 中 向 用 户 证 明 用 户 的 数据 是 以 密 文 的 形式 存储 的 ,并 且 存 储 服务 
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图 2-2 云 计算 安全 服务 体系 


还 能 对 用 户 的 数据 文件 进行 完整 性 校 验 ;等 等 。 


2. 云 安 全 基础 服务 

云 安 全 基础 服务 属于 云 基础 软件 服务 层 , 它 为 各 类 云 应 用 提供 信息 安全 服务 ,可 以 让 
云 应 用 满足 用 户 的 各 种 安全 目标 。 比 较 明 型 的 几 类 云 安 全 基础 服务 包括 云 用 户 认 证 服 
务 、 云 授权 服务 、 云 审计 服务 以 及 云 密码 服务 ,下 面 逐 一 介绍 。 

云 用 户 认 证 服务 主要 涉及 用 户 映 份 的 管理 .注销 以 及 映 份 认证 的 过 程 。 在 云 计 算 环 
境 下 , 云 计 算 联 盟 服务 之 间 一 般 可 以 对 用 户 映 份 信息 和 认证 结果 进行 共享 ,实现 号 份 联合 
和 单 点 登录 ,从 而 减少 重复 认证 市 来 的 运行 开销 。 在 云 导 份 联合 管理 的 过 程 中 , 云 用 户 认 
证 服务 需要 保证 用 户 数 字号 份 的 隐私 性 。 

云 授权 服务 需要 在 基于 角色 的 访问 控制 模型 .基于 属性 的 访问 控制 模型 以 及 踢 制 月 
主 访问 控制 模型 等 传统 访问 控制 模型 的 基础 上 进一步 完善 ,并 结合 XACML、SAML 等 
各 种 授权 策略 语言 标准 来 实现 。 

云 审 计 服 务 是 保证 云 服 务 提供 商 满 足 合 规 性 要 求 的 重要 方式 , 它 必 须 提供 满足 审计 
事件 列表 的 所 有 证 据 以 及 证 据 的 可 信和 度 说 明 , 且 在 证 据 调 查 过 程 中 为 了 避免 使 其 他 用 户 
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的 信息 受到 影响 ,还 应 该 对 数据 取证 方法 进行 特殊 设计 。 

云 密码 服务 依赖 于 密码 基础 设施 , 它 能 够 满足 云 用 户 对 数据 加 解密 运算 的 需求 。 云 
安全 基础 服务 中 包括 密码 运算 中 的 密 钥 管理 、 密 钥 分 发 以 及 证 书 管 理 . 证 书 分 发 等 功能 。 
云 密友 服务 人 简化 了 密 公 模块 的 设计 与 实施 ,使 得 密码 技术 的 使 用 更 集中 、 更 规 苑 。 

3. 云 安全 应 用 服务 

云 计 算 具 有 快速 弹性 伸缩 、 超 强 计算 能 力 、 多 租户 等 优势 ,这 些 优势 可 以 极 大 地 弥补 
传统 网 络 安全 区 技术 在 防御 能 力 、 啊 应 速度 、 系 统 规模 等 方面 的 不 足 , 从 而 有 效应 对 日 益 
复 沪 的 安全 需求 。 云 安全 应 用 服务 种 类 多 样 , 与 用 户 的 需求 坚 密 结合 ,比较 典型 的 云 安 全 
应 用 服务 包括 DDoS 攻击 防护 服务 .僵尸 网 络 检测 与 监控 服务 . 防 垃 圾 邮件 服务 .Web 安 
全 病毒 查 杀 服务 等 。 云 安全 应 用 服务 能 够 提供 超 强 的 计算 能 力 及 海量 的 存储 能 力 , 从 

而 能 够 大 幅 提 升 安全 事件 采集 .关联 分 析 .病毒 防范 等 方面 的 性 能 ， 通常 云 平台 中 会 包含 超 

大 规模 的 安全 事件 信息 处 理 平 台 , 它 能 帮助 提升 全 局 网 络 的 安全 态势 感知 和 分 析 的 能 力 。 
此 外 , 云 平台 还 可 以 通过 海量 终端 的 分 布 式 处 理 能 力 实现 安全 事件 的 统一 采集 ,之 后 再 对 上 
传 到 云 安全 中 心 的 事件 进行 并 行 分 析 , 从 而 极 大 地 提高 安全 事件 汇聚 与 实时 处 理 的 能 力 。 


2.3.3 云 计 算 安 全 支撑 体系 


云 计 算 安全 服务 体系 的 实现 依赖 于 云 计 算 安 全 支撑 体系 ,该 体系 如 图 2-3 所 示 。 

云 计算 安全 支撑 体系 可 以 为 云 计 算 安 全 服务 提供 
云 计算 安全 支撑 体系 各 种 重要 的 技术 和 功能 文 返 ,下 面 对 其 核心 进行 话 细 
介绍 : 

(1) 密码 基础 设施 可 以 为 云 计算 安全 服务 中 的 密 
但 类 应 用 提供 文 撑 ,包括 密 钥 管理 .证 书 管 理 . 散 列 人 码 
算法 以 及 对 称 或 非 对 称 加 密 算 法 等 功能 。 

(2) 认证 基础 设施 可 以 为 云 计 算 应 用 系统 的 身份 
鉴别 服务 提供 文 撑 ,主要 包括 为 用 户 提 供 基 本 的 号 份 
认证 管理 和 联盟 身份 管理 这 两 大 功能 ,可 以 实现 统一 
的 身份 创建 .修改 .删除 .终止 和 激活 等 ,并 且 它 能 支持 
多 种 类 型 的 用 户 认 证 方式 ， 实现 认证 体制 的 整合 。 认 
证 基础 设施 在 号 份 认 证 过 程 完 成 之 后 ,还 可 以 通过 安 


全 令 有 牌 服务 签发 用 户 号 份 断 言 (identity assertion), 为 
应 用 系统 提供 身份 认证 服务 。 


\ (3) 授权 基础 设施 可 以 为 云 计算 环境 下 业务 运行 

图 2-3 云 计算 安全 支撑 体系 ” ”过程 中 的 细 粒 度 访问 控制 提供 支撑 , 它 可 以 实现 云 计 

算 坏 境 范 围 内 访问 控制 策略 的 统一 集中 省 理 和 实施 。 

授权 基础 设施 可 以 满足 云 计 算 应 用 系统 灵活 授权 的 需求 ,同时 也 可 以 确保 云 计 算 安 全 条 

略 的 完整 性 和 不 可 否认 性 ,让 云 计 算 安 全 宋 略 受到 局 蝇 度 的 安全 防护 ,从 而 维持 云 计 算 安 
全 环 略 的 权威 性 和 可 审计 性 ，。 
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(4) 监控 基础 设施 可 以 为 云 计 算 的 基础 设施 运行 状态 、 安 全 系统 运行 状态 以 及 安全 
事件 的 采集 和 汇总 提供 文 梯 , 它 包 含 了 在 云 计算 环境 中 部 署 的 虚拟 机 、 虚 拟 机 管理 天、 网 
络 关 键 点 的 代理 及 检测 系统 ,通过 这 些 基 础 设施 来 完成 对 云 计算 环境 的 监控 。 

(5) 基础 安全 设备 主要 包括 防火 增 、 安 全 网 关 、 存 储 加 密 模 块 . 入侵 防 御 系 统 等 网 络 
安全 及 存储 安全 设备 ,可 以 为 云 计 算 环 境 提供 基础 的 安全 防护 能 力 。 


2.4 云 计 算数 据 中 心安 全 建设 


2.4.1 云 计 算数 据 中 心安 全 建设 思路 

传统 的 互联 网 数据 中 心 (Internet Data Center,IDC) 是 以 稳定 可 和 菲 的 宽 市 互联 网 接 人 
和 安全 可 徘 的 电信 级 机 房 设备 问 用 户 提供 专业 化 和 标准 化 数据 存放 业务 和 相关 服务 的 数 
据 存 储 中 心 和 数据 交换 中 心 ,是 承载 云 计算 写 示 来 业务 发 展 的 重要 载体 。 它 把 传统 电信 
资源 、 互 联网 资源 和 传统 服务 能 力 结合 在 一 起 ,具有 高 沉 宽 、 高 可 徘 性 以 及 提供 网 络 高 速 
互联 的 能 力 ,能 够 把 用 户 的 内 容 或 应 用 服务 以 更 快 的 速度 安全 .稳定 地 传递 给 使 用 者 。 
IDC 是 在 云 计算 技术 快速 发 展 的 环境 下 兴起 的 ,能 够 很 好 地 适应 我 国 互联 网 发 展 的 需求 。 
IDC 提供 的 是 有 品质 保证 的 专业 互联 网 服务 ,因此 其 安全 性 十 分 重要 。IDC 必须 能 够 提 
供 有 效 的 容 灾 和 容错 等 风险 保 隐 机 制 来 应 对 火灾 . 盗 禄 . 洪 游 等 意外 以 及 各 种 不 可 预知 的 
人 为 操作 失误 ;必须 能 够 有 效 抵 御 来 自 系统 外 部 的 恶意 攻击 以 及 来 自 系统 内 部 的 恶意 
破坏 。 

在 云 计算 数据 中 心安 全 建设 的 过 程 中 ,除了 要 明确 各 种 安全 技术 以 及 安全 管理 方法 
以 外 ,还 必须 遵循 现 阶段 较 成 束 的 传统 的 互联 网 数据 中 心 ( 以 下 简称 传统 数据 中 心 ) 安 全 
建设 原则 ,这 样 才 能 结合 具体 安全 问题 制定 合理 的 安全 措施 部 署 方案 ,为 云 计算 数据 中 心 
的 安全 提供 强 有 力 的 安全 保障 。 

云 计 算数 据 中 心 与 传统 数据 中 心 的 差异 主要 体现 在 计算 、 存 储 及 网 络 资源 的 松 耦 合 
程度 、 虚 拟 化 程度 ,模块 化 程度 、 绿 色 厄 能 程度 以 及 日 动 化 管理 程度 等 几 个 方面 ,但 总 体 而 
言 ,两 者 之 间 并 没有 本 质 上 的 区 别 。 因 此 , 云 计算 数据 中 心 在 进行 安全 建设 时 可 以 将 传统 
数据 中 心 的 安全 建设 原则 作为 建设 初期 的 参考 ,并 在 此 基础 上 结合 云 用 户 与 云 服务 提供 
商 的 安全 需求 进行 合理 规划 建设 和 部 著 。 

传统 数据 中 心 的 安全 防护 部 署 一 般 按 照 * 分 区 规划 、 分 层 部 署 ? 的 原则 来 进行 。 其 中 ， 
“分 区 规划 ” 指 的 是 根据 数据 中 心中 应 用 或 业务 单元 易 受 攻击 的 程度 以 及 自身 价值 的 不 
同 ,为 其 建立 不 同 的 安全 策略 和 信任 模型 ,将 数据 中 心 划 分 为 不 同 区 域 ,以 满足 数据 流 、 
IT 安全 .业务 .应 用 的 逻辑 功能 等 需求 。 另 外 ,数据 中 心 为 满足 对 业务 .应 用 以 及 数据 的 
安全 需求 ,还 会 根据 不 同 的 信任 级 别 划 分 为 省 理 右 、 远 程 接 入 区 核心 区 、 容 灾 和 备份 区 、 测 
试 区 .存储 区 ,Internet 服务 器 区 等 多 个 分 区 ,每 个 分 区 的 安全 功能 是 根据 各 自 的 特性 进 
行 定义 的 ,因此 每 个 分 区 可 以 单独 进行 安全 部 署 而 不 会 影响 到 其 他 应 用 或 者 整个 数据 中 
心 ,这 使 得 采用 分 区 规划 的 架构 设计 具有 很 好 的 伸缩 性 ,可 以 在 不 需要 对 整个 架构 进行 大 
修改 的 情况 下 灵活 地 增加 新 分 区 。“ 分 层 部 署 " 指 的 是 在 数据 中 心 分 区 规划 的 基础 上 按照 
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安全 防护 部 罩 的 要 求 ,根据 实际 情况 在 每 个 分 区 的 边界 处 部 车 异 构 多 重 防火 墙 \、 虚 拟 专用 
网 .DDoS 攻击 防护 、 流 量 分 析 与 控制 .入 侵 防 御 以 及 负载 均衡 等 相应 的 安全 防护 措施 。 

云 计 算数 据 中 心 的 建设 可 以 信 鉴 传统 数据 中 心 * 分 区 规划 分 层 部 普 ” 的 思想 ,在 此 基 
础 上 还 要 考虑 如 何 实现 计算 和 存储 等 IT 资源 的 灵活 调度 、 如 何 让 资源 得 到 充分 利用 等 
云 计 算 日 遇 对 于 安全 的 需求 。 对 于 云 计 算数 据 中 心 来 说 ,其 所 宕 过 循 的 安全 原则 是 保护 
基础 设施 安全 ,保护 网 络 安全 以 及 保护 应 用 安全 。 

与 传统 数据 中 心安 全 建设 相 比 , 云 计算 数据 中 心 的 安全 建设 主要 有 以 下 几 个 方面 需 

(1) 对 虚拟 化 技术 的 支持 。 目 前 服务 器、 网 络 设 备 以 及 存储 器 的 虚拟 资源 池 化 技术 
已 经 日 渐 成 熟 , 现 代 化 数据 中 心 的 基础 网 络 架构 、 计 算 资 源 、 存 储 资 源 以 及 应 用 资源 都 开 
始 使 用 虚拟 化 技术 ,在 云 计 算 环 境 下 也 采用 了 可 以 最 大 限度 提高 资源 利用 率 并 降低 运 埋 
成 本 的 虚拟 资源 池 。 因 此 , 云 计 算数 据 中 心 的 防火 墙 、 负 载 均衡 等 安全 控制 设备 也 必须 广 
持 虚 拟 化 能 力 , 即 将 这 些 安 全 控制 设备 像 计 算 、 存 储 和 网 络 一 样 以 按 需 服务 的 形式 提供 给 
用 卢 。 

(2) 融 性 能 要 求 。 相 较 于 传统 模型 , 云 计 算 网 络 的 流量 模型 具有 从 外 部 到 内 部 的 纵 
自流 量 加 大 以 及 云 业务 内 部 虚拟 机 之 间 的 横 癌 流量 加 大 这 两 个 不 同 。 因 此 ,为 保证 业务 
的 顺利 开展 , 云 计 算数 据 中 心 必须 具有 和 较 高 的 否 吐 能 力 和 处 理 能 力 ,应 具备 突 发 流量 的 承 
载 能 力 ,防止 数据 转发 和 控制 的 节点 出 现 阻塞 现象 。 

(3) 虚拟 机 (Virtual Machine, VMD) 之 间 的 安全 防护 筷 求 。 云 计算 的 一 大 特点 是 虚拟 
化 ,在 虚拟 化 环境 下 ,一 人 台 物 理 服务 融会 虚拟 化 为 多 台 VM,VM 之 间 的 流量 交换 是 基于 
服务 硕 内 部 的 虚拟 交换 ,这 部 分 流量 对 管理 员 而 言 怒 不 可 控 也 不 可 见 ,因此 云 计 算数 据 中 
心 要 采取 适当 的 措施 ,做 好 VM 之 间 的 安全 防护 。 

(4) 建设 统一 的 安全 威胁 防护 系统 。 由 于 云 计 算数 据 中 心 的 安全 边界 模糊 ,物理 上 
的 安全 边界 已 经 不 存在 , 且 资 源 高 度 整合 ,因此 管理 人 员 只 能 对 整个 数据 中 心 进 行 逻辑 上 
的 分 区 ,针对 用 户 单 独 部 署 独立 的 安全 系统 已 经 不 现实 。 在 这 种 情况 下 ,应 该 建立 统一 的 
安全 威胁 防护 系统 ,将 过 去 基于 各 子 系统 的 安全 防护 转变 为 基于 整个 云 计 算数 据 中 心 的 
安全 防护 。 

(5) 形成 安全 风险 快速 反应 机 制 。 云 计算 具有 强大 的 资源 共 至 能 力 和 计算 能 力 , 因 
此 云 计算 数据 中 心 在 安全 建设 中 可 以 充分 利用 这 些 优势 对 安全 风险 进行 快速 反应 和 处 
置 , 当 发 现 安全 威胁 时 可 以 快速 定位 和 解析 ,并 将 安全 威胁 的 处 置 方式 推送 到 整个 数据 中 
心 ,让 所 有 的 安全 设备 部 具备 这 种 安全 威胁 的 检测 能 力 。 


2.4.2” 云 计算 数据 中 心安 全 部 署 
云 计 算数 据 中 心 的 安全 防护 需要 覆盖 环境 、 链 路 .系统 、 网 络 、 内 容 等 方面 的 安全 需 


求 , 知 要 构建 立体 的 安全 防御 体系 来 抵御 各 类 攻击 。 具 体 来 说 , 云 计算 数据 中 心 总 体 的 安 
全 部 署 可 以 从 以 下 几 个 方面 进行 。 


1. 环境 安全 部 署 
建设 云 计 算数 据 中 心 前 需要 考虑 的 一 个 重要 问题 就 是 选 址 , 它 关 系 到 云 计 算数 据 中 
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心 的 长 远 发 展 。 选 址 时 需要 重点 考虑 云 计算 数据 中 心 周 围 的 水 利 资源 .电力 能 源 、 通 信和 发 
展 、 交 通 条 件 . 税 费 .社会 安保 ,城市 气候 、 环 境 质量 .人 才 聚 集 等 因 际 。 

2. 角色 管控 部 嗜 

角色 可 以 分 为 云 服务 提供 商 和 用 户 。 其 中 , 云 服 务 提供 商 对 云 的 威胁 主要 来 自 内 部 
工作 人 员 ,因此 面 对 该 角色 应 该 采取 加 密 、 认 证 以 及 访问 控制 等 技术 手段 进行 管控 。 用 户 
对 云 安全 性 的 威胁 主要 来 自 各 种 移动 终 问 。 随 大 信息 技术 的 不 断 发 展 ,智能 终 问 也 越 来 
越 普 及 ,用 户 可 以 通过 智能 手机 、PC 平板 电脑 等 多 种 形式 的 终端 来 访问 云 计 算数 据 中 
心 。 但 与 此 同时 ,各 种 终端 面临 的 安全 威胁 也 越 来 越 多 样 化 ,攻击 者 可 以 利用 恶意 软件 攻 
击 用 户 ,给 用 户 造成 巨大 的 安全 威胁 ;另外 ,终端 一 旦 遭受 了 攻击 , 云 的 安全 性 也 会 受到 威 
胁 。 因 此 ,用 户 需 要 选择 安全 的 移动 漠 能 终端 。 而 云 服务 提供 商 则 可 以 了 采用 号 份 认 证 技 
术 来 确保 用 户 身 份 的 合法 性 ,并 采用 分 级 认证 这 种 信息 系统 认证 的 核心 方法 ,实现 用 户 对 
数据 的 访问 控制 。 

3. 安全 防护 部 署 

安全 防护 部 署 包括 主机 安全 部 署 .虚拟 化 安全 部 署 以 及 网 络 基 础 设施 安全 部 署 。 下 
面 对 这 几 方 面 进行 介绍 。 

在 主机 安全 部 署 方面 ,由 于 云 计 算 环 境 中 的 主机 不 仅 是 进行 计算 和 存储 的 主体 ,同时 
还 充当 着 虚拟 宿主 机 的 角色 ,因此 主机 的 安全 对 于 上 层 虚 拟 机 的 安全 十 分 重要 。 为 保证 
主机 的 安全 , 痛 先 必须 保证 主机 上 运行 的 程序 和 数据 资源 是 “干净 ”的 , 男 外 还 要 求 其 承载 
的 资源 务必 来 自 正 确 的 安全 域 。 由 于 云 计 算 环境 中 的 安全 边界 很 模糊 ,因此 可 以 在 云 计 
算 环境 中 设 定 不 同 级 别 的 安全 域 并 针对 不 同安 全 域 采 取 不 同 的 保护 措施 。 

在 虚拟 化 安全 部 署 方面 ,由 于 虚拟 机 环境 下 一 台 物 理 服 务 器 被 虚拟 化 成 多 人 台 虚 拟 机 ， 
虚拟 机 之 间 的 流量 交流 是 基于 服务 更 内 部 的 虚拟 交换 ,这 部 分 流量 不 可 见 也 不 可 控 。 
此 可 以 将 不 同 的 虚拟 机 划分 到 不 同 的 安全 域 进 行 隅 离 和 访问 控制 ,通过 EVB (Edge 
Virtual Bridging ,边缘 虚拟 桥接 ) 协 议 将 虚拟 机 内 部 不 同 虚 拟 机 之 间 的 网 络 流量 全 部 交 
由 与 服务 右 相 连 的 物理 交换 机 人 处理 。 

在 网 络 基 础 设施 安全 部 蜀 方 面 ,由 于 云 计算 数据 中 心 面临 大 病毒 、 木 马 、 攻 击 者 和 人 侵 、 
蠕虫 . 穷 听 拒绝 服务 攻击 等 安全 威胁 ,因此 可 以 通过 部 署 防火 墙 \IPS、VPN ,病毒 墙 等 一 
系列 安全 设备 对 网 络 基 础 架构 进行 安全 加 固 , 应 对 各 种 混合 型 攻击 。 


4. 安全 监控 管理 部 署 

云 计 算数 据 中 心 运行 看 大 量 用 户 的 海量 应 用 ,并 且 其 设备 的 种 类 和 数目 众多 , 通 弟 需 
要 路 地 域 管理 , 云 计算 环境 中 一 旦 出 现 卉 利 驶 会 很 难 定 位 。 因 此 ,在 安全 监控 和 管理 的 部 
四 方面 ,应 该 建立 实时 监控 系统 ,对 云 计 算 中 心 进 行 7X24h 的 监控 ,并 建立 不 同 级 别 的 安 
全 监控 措施 ,做 到 监控 工作 的 分 级 管理 。 克 外 , 云 计 算 中心 的 管理 人 员 还 必须 能 随时 千 握 
全 局 安全 态 努 。 云 计算 日 志 审 计 中 心 以 及 可 视 化 安全 管理 可 以 帮助 管理 人 员 座 和 了解 每 
一 个 安全 细节 ,为 安全 建设 监控、 啊 应 及 优化 提供 科学 依据 。 
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2 .5 本 章 小 结 


本 章 从 云 计算 领域 几 个 IT 巨头 企业 所 发 生 过 的 云 安全 事件 的 介绍 分 析 入 手 ,结合 
云 安全 联盟 发 布 的 云 计算 环境 所 面临 的 安全 问题 分 析 报告 ,对 云 计 算 环 境 与 IT 环境 所 
面临 的 信息 安全 问题 进行 了 梳理 和 分 析 , 并 针对 这 些 问题 给 出 了 国内 外 的 云 计算 安全 杠 
架 以 及 相关 的 去 计算 安全 服务 体系 和 支撑 体系 ,最 后 还 给 出 了 去 计算 数据 中 心 的 安全 建 
设 策略 。 

结合 本 章 的 梳理 分 析 , 可 以 看 到 目前 云 计算 仍然 面临 着 许多 安全 威胁 和 挑战 。 通 过 
分 析 可 以 发 现 ,导致 云 计算 安全 问题 产生 的 原因 既 有 传统 IT 环境 下 人 力 资源 、 业 务 连续 
性 、 加 密 和 密 钥 等 方面 的 管理 不 善 ,也 有 云 计算 环境 下 的 虚拟 化 安全 ,可 移植 性 、 多 租户 等 
新 技术 .新 特征 所 带 来 的 安全 风险 。 为 保障 云 计 算 环境 的 安全 ,需要 一 套 完善 的 方案 来 应 
对 ,本 章 介绍 的 国内 外 云 计 算 安全 框架 以 及 云 计 算 安全 服务 体系 和 支撑 体系 都 是 很 好 的 
参考 内 容 。 另 外 ,参考 标准 化 的 管理 模型 和 最 佳 实践 来 构建 企业 自己 的 云 计算 安全 管理 


体系 和 机 制 ,能够 比较 完善 地 解决 云 计算 安全 问题 ,因此 第 3 划 将 重点 介绍 云 计 算 环 境 下 
的 安全 管理 。 


2 思考 题 


(1) 云 计 算 的 滥用 包括 哪 3 种 ?” 请 分 别 简 述 。 

(2) 云 计 算 在 基础 设施 .数据 .应 用 以 及 管理 这 几 个 层面 分 别 面临 者 哪些 安全 威胁 ? 

(3) CSA 定义 的 云 安 全 威胁 有 哪 12 种 ? 

(4) 简 述 IBM 公司 云 计 算 安全 框 染 中 的 服务 器 、 网 络 、 存 储 等 基础 设施 的 安全 保护 
以 及 数据 的 隔离 和 保护 ，。 

(5) 根据 所 属 层次 的 不 同 , 云 计算 安全 服务 体系 可 分 为 哪 3 类 ? 请 分 别 简 述 。 

(6) 简 述 云 计算 中 心安 全 建设 的 思路 。 
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二 云 计 算 安 全 标准 化 工作 概况 


为 了 保障 云 计算 环 境 的 安全 ,不 仅 要 采取 相应 的 技术 防护 措施 、 完 善 管理 方案 ,还 需 

要 有 相关 的 云 计算 安全 标准 为 安全 保障 工作 提供 制度 环境 ,引领 云 计算 安全 工作 的 开展 。 

目前 ， 国内 外 云 计算 安全 相关 标准 化 组 织 形成 了 众多 的 云 计算 安全 标准 ， 这 些 云 计算 安全 
标准 为 云 计 算 提 供 了 安全 管理 保障 ,促进 了 云 计算 安全 快速 发 展 。 


3.1.1 国际 云 计算 安全 标准 概况 


目前 ,许多 国家 政府 及 标准 组 织 都 加 入 到 了 云 计 算 安 全 标准 的 制定 工作 中 , 云 计 算 安 
全 标准 工作 已 经 在 全 球 范 围 内 全 面 司 动 。 其 中 ,比较 有 代表 性 的 国际 标准 组 织 包括 云 安 
全 联盟 (CSA) .美国 国家 标准 与 技术 全 究 院 (NIST) .国际 标准 化 组 织 (International 
Organization for Standardization,; ISO) 以 及 国际 电信 联盟 远程 通信 标准 化 组 织 
(International Telecommunication Union-Telecommunication Standardization Sector， 
ITU-T) .欧洲 网 络 与 信息 安全 局 (European Network and Information Security Agencvy， 
ENISA) 等 。 这 些 国际 标准 组 织 对 云 计算 安全 标准 进行 了 长 期 ,深入 的 研究 ,从 基础 类 到 
技术 类 服务 类 管理 类 的 术语 和 参考 框架 , 均 出 台 了 一 系列 云 计算 及 云 计算 安全 标准 ,在 
云 计算 的 云 服务 、 安 全 及 云 际 接口 等 方面 均 有 很 多 成 果 。 下 面 对 其 中 几 个 国际 标准 组 织 
进行 简单 介绍 。 


1. CSA 

CSA 是 2009 年 4 月 在 RSA 大 会 上 宣布 成 立 的 一 个 非 营 利 性 组 织 , 其 组 织 成 员 包 括 
100 多 家 来 自 全 球 的 IT 企业 ,并 与 ITU、ENISA .ISO 等 标准 组 织 及 机 构 合 作 , 建 立 了 定 
期 的 技术 交流 机 制 ,交流 在 云 安 全 方面 的 经 验 和 前 治 技术 ,致力 于 在 云 计算 环境 下 推广 云 
安全 的 最 佳 实践 方案 。CSA 自 建 立 以 来 已 经 发 布 了 一 系列 研究 报告 ,这 些 报告 从 技术 、 
操作 .数据 等 多 个 方面 提出 了 保证 云 安全 需要 考虑 的 问题 以 及 相应 的 解决 方案 。 业 界 最 
为 熟知 的 《 云 计 算 关 键 领域 安全 指南 》 就 是 CSA 发 布 的 ,该 指南 在 2017 年 7 月 更 新 到 了 
第 4 版 ,从 架构 .治理 和 运行 3 个 部 分 、14 个 关键 领域 对 云 安全 进行 了 深入 阐述 。 另 外 ， 
CSA 在 云 安全 威胁 、 云 安全 控制 矩阵 、 云 安全 度量 等 方面 也 有 重要 的 研究 成 果 。CSA 在 
云 安 全 最 佳 实践 与 标准 制定 方面 有 着 巨大 的 影响 力 , 对 云 计 算 安 全 行业 规范 的 形成 起 到 


2. NIST 

NIST 直属 美国 商务 部 ,主要 从 事物 理 、 生 物 、 工 程 测 量 技术 以 及 测量 方法 等 方面 的 
基础 和 应 用 人 研究 ,并 提供 标准 ,标准 参考 数据 以 及 相关 服务 。2010 年 12 月 ,美国 联邦 首 
席 信 息 家 (CIO) 发 布 4《 联 邦 信息 技术 管理 改革 25 点 实施 计划 》(25 Point Implementation 
Plan to Reform Federal Information Technology Management) ,其 中 确立 以 “ 云 优 先 ” 宽 
略为 核心 的 美国 联邦 IT 改革 方向 ,并 于 2011 年 2 月 发 布 了 《联邦 云 计 算 战 略 》(Federal 
Cloud Computing Strategy), 其 中 提出 了 美国 联邦 IT 和 癌 云 计算 迁移 的 框架 和 政 琐 举措 。 
为 了 积极 啊 应 .落实 和 配合 美国 联邦 云 计算 战略 ,NIST 于 2010 年 11 月 符 头 司 动 了 云 计 
算计 划 ,为 美国 政府 安全 高效 地 使 用 云 计 算 提 供 标 准 文 撑 服 务 ,并 成 立 了 云 计 算 目 标 商 
务 用 例 工 作 组 (Cloud Computing Target Business Use Cases Working Group) \ 云 计算 参 
考 架 构 和 分 类 工作 组 (CCloud Computing Reference Architecture and Taxonomy Working 
Group), 云 计算 标准 路 线 图 工作 组 (Cloud Computing Standards Roadmap Working 
Group) , 云 计 算 应 用 的 标准 推进 工作 组 (Cloud Computing Standards Acceleration to 
Jumpstart the Adoption of Cloud Working Group )、 云 计算 安全 工作 组 (Cloud 
Computing Security Working Group) 这 5 个 云 计 算 工 作 组 ,制定 并 发 布 了 多 项 云 计 算 标 
准 和 指南 ,加 快 了 美国 联邦 政府 安全 采购 云 服 务 进程 ,在 业界 产生 了 巨大 影响 。 其 中 ,由 
NIST 提出 的 云 计 算 定 义 、3 种 云 服 务 模式 (SaaS、PaaS .IaaS) .4 种 部 署 模 型 (私有 云 、 公 
有 云 ` 社 区 云 和 混合 云 ) 以 及 五 大 基础 特征 ( 按 需 目 助 服务 、. 宽 市 网 络 访问 .资源 池 ,快速 伸 
缩 能 力 以 及 可 被 测量 的 服务 ) 被 认为 是 云 计 算 的 权威 性 摘 述 。 

NIST 云 计 算 安 全 工作 组 目 成 立 以 来 ,在 为 美国 政府 安全 采用 云 服 务 提 供 标 准 方面 
做 出 了 很 大 页 献 , 其 输出 成 末 如 下 : 

(1) SP500-299,《NIST 云 计算 安全 参考 架构 
Security Reference Architecture— Drafit)., 

(2)《 美 国政 府 采 用 云 计 算 的 安全 宕 求 挑战 ) 日 皮 书 (“Challenging Security 
Requirements for US Government Cloud Computing Adoption White Paper) 。 

(3) SP800-173,《 云 适应 的 风险 管理 框架 :; 应 用 风险 管理 框架 到 基于 云 的 联邦 信息 
系统 指南 》(Cloud-Adapted Risk Management Framework: Guide for Applying the 
Risk Management Framework to Cloud-Based Federal Information Systems),。 

(4) SP800-174,《 用 于 基于 云 的 信息 联邦 系统 的 安全 和 隐私 控制 》(Security and 
Privacy Controls for Cloud-Based Information Federal Systems)., 


草案 》(NIST Cloud Com puting 


3. ISO/IEC 
ISO 成 立 于 1946 年 ,是 一 个 全 球 性 的 非 政 府 组 织 ,其 总 部 设 在 瑞士 日 内 瓦 ,成 员 包 括 
162 个 国家 和 地 区 ,参与 者 包括 各 成 员 的 标准 机 构 和 主要 公司 ,中 国 也 是 ISO 的 正式 成 
员 。ISO 是 世界 上 最 大 的 非 政 府 性 标准 化 专门 机 构 , 它 通过 2856 个 技术 机 构 开 展 技 术 活 
动 , 其 中 技术 委员 会 有 611 个 ,工作 组 有 2022 个 ,特别 工作 组 有 38 个 。ISO 是 国际 标准 
化 领域 中 十 分 重要 的 组 织 , 它 负责 绝 大 部 分 领域 的 标准 化 活动 ,其 中 包括 军工 、 船 船 \ 石 油 
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竺 垄断 行业 。ISO 的 守则 是 “在 世界 上 促进 标准 化 及 其 相关 活动 的 开展 ,以 便于 商品 和 服 
务 的 国际 交换 ,在 智力 .科学 、 技 术 和 经 济 领域 开展 合作 ”。 

IEC(International Electrotechnical Commission,; 国 际 电 工 委 员 会 ) 于 1906 年 成 立 ， 
是 世界 上 成 立 最 早 的 国际 性 电工 标准 化 机 构 , 负 责 电气 工程 和 电子 工程 领域 的 国际 标准 
化 工作 。 

ISO 和 IEC 这 两 大 国际 标准 组 织 于 1987 年 联合 组 建 了 信息 技术 第 一 联合 技术 委员 
会 JTC1)。ISO/IEC JTC1/SC27 是 其 中 专门 从 事 信息 安全 标准 化 的 分 技术 委员 会 , 它 
是 信息 安全 领域 中 最 具 代 表 性 的 国际 标准 组 织 。SC27 下 设 有 多 个 工作 组 ,其 工作 范围 履 
盖 了 信息 安全 管理 和 技术 领域 ,包括 信息 安全 管理 体系 、 密 码 与 安全 机 制 .安全 评估 准则 、 
安全 控制 以 及 服务 身份 管理 与 隐私 保护 技术 等 。SC27 于 2010 年 10 月 局 动 了 1“ 云 计 算 安 
全 与 隐私 ”项 目 ,确定 了 云 计 算 安 全 与 隐私 的 基本 架构 ,明确 了 信息 安全 管理 .身份 管理 和 
隐私 技术 以 及 安全 技术 这 3 个 领域 的 标准 研制 方案 。 


4. ITU-1 

ITU-T 创建 于 1993 年 ,总 部 设 在 瑞士 日 内 瓦 , 它 是 在 国际 电信 联盟 (ITU) 管 理 下 专 
门 制定 远程 通信 相关 国际 标准 的 组 织 。ITU-T 中 与 云 计 算 相 关 的 工作 组 包括 云 计 算 焦 
点 组 (Focus Group on Cloud Computing,FG Cloud) JITU-T SG13 研究 组 以 及 ITU-T 
SG17 人 研究 组 。 

FG Cloud 是 由 ITU-T 于 2010 年 成 立 的 , 引 在 从 电信 和 角度 为 云 计算 提供 云 安 全 与 云 
管理 等 文 持 ,该 工作 组 随后 发 布 了 多 份 云 计算 技术 报告 ,其 中 包括 《 云 安全 (该 报告 的 完 
整 英 文 名 称 为 Focus Group on Cloud Computing Technical Report Part 5: Cloud 
security) 和 《 云 计 算 标 准 制定 组 织 综 述 》( 该 报告 的 完整 瑞 文 名 称 为 Focus Group on 
Cloud Computing Technical Report Part 6: OQverview of SDOs involved in Cloud 
Computing )。《 云 安全 ) 报 告 确 定 了 1ITU-T 与 相关 标准 组 织 需 要 合作 开展 的 云 安 全 人 研究 
领域 ,该 报告 还 计划 对 包括 欧洲 网 络 与 信息 安全 局 (ENISA)、ITU-T 等 标准 组 织 所 开展 
的 云 安全 工作 进行 评价 ,并 在 此 基础 上 总 结 云 服务 用 户 与 云 服 务 供应 商 所 面临 的 安全 威 
胁 与 存在 的 安全 需求 。《 云 计算 标准 制定 组 织 综述 》 对 包括 分 布 式 管理 任务 组 
(Distributed Management Task Force,DMTF) .美国 国家 标准 与 技术 人 研究 院 (NIST), 云 
安全 联盟 (CSA) 等 在 内 的 标准 组 织 已 开展 的 活动 及 取得 的 成 功 进行 了 绽 述 和 举例 分 析 ， 
绽 述 表明 各 标准 组 织 制定 的 云 计 算 标 准 架 构 各 不 相同 ,都 是 出 于 各 目的 目的 ,无 法 履 希 云 
计算 标准 化 的 全 部 。 同 时 ,该 报告 建议 ITU-T 需要 与 其 他 标准 组 织 进 行 互补 的 标准 化 工 
作 ,避免 重复 工作 ,以 提高 效率 ,进而 在 功能 碎 构 、. 路 云 安全 和 管理 .服务 水 平 协议 等 全 究 
领域 发 挥 引领 作用 。FG Cloud 下 设 两 个 工作 组 ,分 别 是 : WG1, 即 云 计 算 效 益 和 需求 
(Cloud Computing Benefits and Requirements) 工 作 组 ;WG2, 即 云 计 算 标 准 发 展 差距 分 析 和 
线路 图 (Gap Analysis and Roadmap on Cloud Computing Standards Development) 工作 组 。 

FG Cloud 于 2011 年 12 月 结束 了 工作 ,ITU-T 与 云 计 算 相 关 的 后 续 工 作 就 转移 到 了 
SG13 和 SG17 人 研 究 组 进行 。SG13 研究 组 的 全 究 内 容 是 包括 云 计算 .手机 和 下 一 代 网 络 
的 未 来 网 络 , 云 计算 是 其 中 重要 部 分 。SG13 研究 组 下 设 Q17、Q18 以 及 Q19 小 组 ,这 些 
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小 组 制定 了 详细 描述 云 计 算 生态 系统 需求 和 功能 架构 的 标准 ,涵盖 云 间 、 云 内 计算 和 支持 
XaaS(Anything as a Service ,一切 则 服务 ) 的 技术 。 云 计算 依赖 于 各 种 电信 和 信息 技术 基 
础 设施 资源 的 相互 作用 ,因此 SG13 人 饶 究 组 制定 了 针对 不 同 云 服 务 商 域 服务 和 拉 术 的 一 
致 性 冰 到 闪 、 多 重 云 管理 和 检测 的 标准 ,并 发 布 了 多 份 云 计 算 建 议 书 。SG17 人 研究 组 则 开 
展 了 多 个 与 云 计算 安全 相关 的 课题 研究 ,发 布 的 云 计 算 标 准 包 括 ( 云 计算 安全 框架 》 
(Security Framework for Cloud Computing V2.0) 以 及 《信息 技术 安全 技术 基于 
ISO/IEC 27002 云 服 务 的 信息 安全 控制 实施 规程 (Information Technology 一 Security 
Techniques—Code of Practice for Information Security Controls based on ISO/IEC 
27002 for Cloud Services ) 等。 


S. ENISA 

ENISA 是 欧盟 及 其 成 员 国 的 网 络 和 信息 安全 中 心 , 它 旨 在 帮助 欧盟 成 员 国 实现 相关 
的 欧盟 法 规 , 提 升 欧洲 关键 信息 基础 设施 和 网 络 的 弹性 ,从 而 提高 欧盟 的 网 络 和 信息 
安全 。 

ENISA 早 在 2009 年 就 启动 了 云 计 算 安 全 相关 人 研究 工作 ,在 云 安 全 标准 化 方面 主要 
关注 云 计算 中 的 风险 评估 和 风险 省 理 等 领域 ,并 先后 发 布 T《 云 计算 : 优势 .风险 及 信息 
安全 建议 》(Cloud Computing: Benefits,Risks,and Recommendation for Information 
Security ) 和 《 云 计算 : 信息 安全 保障 框架 》(Cloud Computing: Information Assurance 
Framework ) 两 个 报告 。 其 中 , 必 云 计算 : 优势 ,风险 及 信息 安全 建议 ) 定 义 了 云 所 面 对 的 
风险 类 型 云 中 的 资产 类 型 . 云 的 脆弱 性 类 型 影 啊 资产 风险 等 级 每 ;《 云 计算 ; 信息 安全 
保障 框架 ) 蔬 在 对 采购 云 服 务 的 风险 进行 评估 、 对 不 同 云 服 务 提供 商 提 供 的 云 服 务 进行 比 
较 , 帮 助 云 服务 提供 商 减轻 安全 保障 负担 ,等 等 。2011 年 ,ENISA 发 布 了 报告 (政府 云 的 
安全 和 弹性 》(Security && Resilience in Government Clouds ) ,为 政府 提供 了 决策 指南 。 
2012 年 4 月 , ENISA 发 布 了 报告 《 云 合 同安 全 服务 水 平 检测 指南 》(A Guide to 
Monitoring 0f Security Service Levels in Cloud Contracts) ,该 指南 是 一 套 持 经 监测 云 服 
务 提供 商 安 全 服务 水 平 协议 运行 情况 的 指 击 ,可 以 实时 核查 用 户 数据 的 安全 性 。 

2012 年 ,ENISA 发 布 了 名 为 “释放 欧洲 云 计 算 潜 力 ”(Unleashing the Potential of 
Cloud Computing in Europe) 的 云 计 算计 划 ,该 计划 的 内 容 包 括 : 对 云 服 务 进行 标准 化 和 
认证 ,提供 安全 、 公 平 的 服务 合同 及 服务 水 平 协 议 ,建立 欧盟 云 计 算 合 作 关 系 , 以 推动 云 计 
算 发 展 。 在 该 计划 的 推动 下 ,ENISA 于 2014 年 推出 了 “ 云 认 证 计划 初步 框架 ”(Cloud 
Certification Schemes Metaframework ,CCSM) ,该 框架 归纳 整理 了 欧盟 11 个 成 员 国 的 
29 个 云 计 算 相 关 国家 法 律 法 规 以 及 相关 指南 ,最 终 概 括 了 安全 职责 .风险 管理 .供应 链 安 
全 ,信息 安全 策略 等 29 个 云 安 全 目标 ,并 将 这 29 个 云 安全 目标 与 欧盟 现 有 的 云 安全 认证 
计划 中 的 云 安 全 目标 的 达成 情况 进行 了 对 照 。 用 户 利用 CCSM 中 的 对 照 表 ,可 以 了 解 某 
个 通过 条 项 认证 计划 的 云 服 务 的 云 安 全 上 日 标 具 体 满 足 达 成 ,明确 哪些 安全 目标 已 经 达成 ， 
哪些 未 被 验证 ,从 而 可 以 根据 日 号 的 安全 需求 对 云 服 务 进行 选择 和 购买 。 


3.1.2 内 云 计 算 安 全 标准 概况 
从 总 体 上 来 看 ,我 国 对 云 计算 及 云 计算 安全 方面 的 研究 起 步 较 晚 ,在 云 计算 产业 化 及 
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标准 化 方面 还 与 国外 有 着 明 显 的 差距 。 近 几 年 ,国内 各 标准 组 织 和 相关 机 构 开 始 大 力 投 
人 到 云 计 算 及 其 安全 标准 制定 工作 中 ,中 国 通 信 标 准 化 协会 (China Communications 
Standards Association，CCSA) 在 云 安 全 标准 制定 方面 有 者 较为 突出 的 成 果 。 同 时 ,全 国 
信息 技术 标准 化 技术 委员 会 、 全 国信 息 安 全 标准 化 技术 委员 会 以 及 公安 部 也 陆续 开展 了 
云 计 算 安 全 相关 标准 的 制定 工作 。 经 过 多 年 的 技术 人 研究 积累 以 及 市 场 的 开拓 发 展 , 云 计 
算 在 国内 正 迎 来 高 速 发 展 的 黄金 时 期 , 云 计 算 安 全 技术 作为 云 计 算 的 核心 保 隐 ,在 标准 和 
规范 方面 也 进入 了 一 个 密集 开发 的 阶段 。 目 前 , 云 计 算 安 全 和 标准 化 是 我 国 云 计 算 面 临 
的 关键 问题 。 下 面 对 几 个 国内 相关 标准 组 织 及 其 工作 进行 介绍 。 


1. 全 国信 息 技 术 标 准 化 技术 委员 会 

全 国信 息 技 术 标 准 化 技术 委员 会 成 立 于 1983 年 ,原名 全 国 计 算 机 与 信息 处 理 标 准 化 
技术 委员 会 ,主要 负责 ISO/IEC JTC1( 信 息 技术 第 一 联合 技术 委员 会 ) 的 国际 归口 工作 。 
全 国信 息 拉 术 标准 化 技术 委员 会 下 设 22 个 分 技术 委员 会 和 18 个 直属 组 ,是 在 国家 标准 
化 管理 委员 会 与 工业 和 信息 化 部 共同 领导 下 成 立 的 从 事 全 国信 息 技 术 领 域 标 准 化 工作 的 
技术 组 织 。 

2009 年 4 月 ,工业 和 信息 化 部 软件 服务 业 司 联合 全 国信 息 技术 标准 化 技术 委员 会 在 
北京 成 立 了 信息 技术 服务 标准 (Information Technology Service Standards, ITSS) 工作 
组 。 该 工作 组 的 任务 主要 是 : 根据 我 国信 息 技 术 服 务 业 发 展现 状 和 趋势 ,全 究 和 提出 信 
县 拉 术 咨询 设计 、 信 息 技 术 运 维 、 信 息 技 术 服 务 管控 等 方面 的 标准 需求 ,进一步 建立 信息 
扩 术 服务 标准 体系 以 及 制定 信息 技术 服务 领域 的 相关 标准 。ITSS 工作 组 下 设 云 服务 专 
业 组 ,该 组 从 云 服 务 的 分 类 、 服 务 交 付 、 服 务 运 党、 服务 安全 等 方面 开展 研究 工作 ,推动 云 
服务 的 标准 化 进程 。 

2009 年 12 月 ,工业 和 信息 化 部 软件 服务 业 司 、 国 家 标准 化 管理 委员 会 共同 领导 成 立 
了 全 国信 息 技 术 标 准 化 技术 委员 会 SOA 标准 工作 组 。 该 工作 组 主要 开展 我 国 SOA 
(Service-Orient Architecture, 面 回 服务 的 体系 结构 ) 云 计 算 .中 间 件 等 领域 的 标准 制定 、 
修订 及 应 用 推广 工作 。 为 开展 SOA 与 云 计 算 结 合 的 相关 技术 标准 人 研究 工作 ,SOA 标准 
工作 组 成 立 了 云 计算 研究 专题 组 。 该 专题 组 目 2010 年 起 开始 对 云 计 算 互 操作 和 可 移植 、 
数据 中 心 和 设备 等 拉 术 标准 进行 妍 制 ,具体 内 容 涉 及 术语 和 参考 模型 弹性 计算 接口 标 
准 .虚拟 化 次 源 管理 及 标准 化 、 云 计算 管理 接口 规范 等 。 此 外 ,该 专题 组 还 发 布 了 中 
SOA 最 佳 应 用 及 云 计算 融 合 实践 等 与 云 计算 相关 的 研究 报告 。 

2012 年 9 月 ,全 国信 息 拉 术 标 准 化 技术 委员 会 成 立 了 云 计 算 标 准 工 作 组 ,该 工作 组 
主要 负责 对 云 计算 领域 的 基础 .技术 .产品 ` 安 全 等 国家 标准 进行 制定 和 修订 ,上 旨 在 发 挥 政 
府 、 企 业 高校、 科研 机 构 ,用户 以 及 中 介 组 织 等 的 作用 ,协调 和 调动 各 方面 的 资源 ,推动 国 
内 云 计算 的 标准 化 工作 进程 ,推动 我 国 云 计算 领域 的 技术 创新 和 产业 发 展 。 该 工作 组 围 
绕 云 存储 和 数据 管理 ,平台 即 服务 ,数据 中 心 ` 云 服务 及 安全 ,弹性 计算 等 开展 多 项 国家 标 
准 人 研制 ,构建 由 杠 她 .关键 技术 .服务 获取 与 安全 管理 4 部 分 构成 的 云 计 算 标 准 体 系 框架 。 
同时 ,该 工作 组 还 担任 联合 编辑 、 联 合 召 集 人 等 职务 ,同步 推动 云 计算 国际 标准 化 工作 , 癌 
ISO/IEC JTC1/SC38 提交 多 篇 国际 标准 页 献 物 。 该 工作 组 已 发 布 的 云 计算 标准 包括 《 信 
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息 技 术 云 计算 参考 架构 》(GB/T 32399 一 2015) 《弹性 计算 应 用 接口 》(CGB/T 31915 一 
2015) 等 。 为 外 , 云 计 算 标 准 工作 组 还 承担 国家 发 展 和 改 蛙 委员 会 .财政 部 及 工业 和 信息 
化 部 联合 文 持 的 云 计算 示范 工程 “ 云 计算 公共 技术 服务 平台 ”项 目 ,建设 云 计 算 公 共 服 务 
平台 ,开展 云 计算 标准 符合 性 和 兼容 性 测试 ,为 云 计 算 产 品 广 商 提 供 云 计算 测试 服务 。 

2. 中 国 通信 标准 化 协会 

中 国 通信 标准 化 协会 (CCSA) 于 2002 年 12 月 18 日 在 北京 正式 成 立 。 该 协会 是 由 国 
内 企 事业 单位 月 愿 联合 组 织 ,并 经 业务 主管 部 门 批 准 , 经 国家 社团 登记 管理 机 关 登 记 , 开 
展 通 信和 技术 领域 标准 化 活动 的 非 营 利 性 法 人 社会 团体 。 该 协会 的 最 终 目 标 是 支撑 我 国 的 
通信 产业 ,让 通信 标准 研究 工作 更 好 地 开展 ,为 世界 通信 作出 贡献 。 

CCSA 由 会 员 大 会 ,理事 会 .专家 咨询 委员 会 .技术 管理 委员 会 .大 二 技术 工作 委员 会 
及 分 会 .秘书 处 构成 ,目前 已 经 有 300 多 个 企业 和 研究 组 织 加 盟 CCSA。 其 主要 任务 是 把 
通信 和 运 彰 企业 、 人 研究 单位 .大 学 .制造 企业 等 关心 标准 的 企 事 业 单 位 组 织 起 来 ,按照 公平 、 
公正 .公开 的 原则 制定 标准 ,进行 标准 的 协调 .把 关 , 把 高 技术 高 水 平 .高 质量 的 标准 推荐 
给 政府 ,并 把 具有 我 国 目 主 知识 产权 的 标准 推 回 世界。CCSA 的 技术 工作 委员 会 下 设 了 
右 干 个 工作 组 ,各 工作 组 又 下 设 寿 干 个 子 工 作 组 和 项 目 组 。 

目前 ,CCSA 已 经 发 布 了 多 个 专门 针对 云 计 算 安 全 的 标准 。 例 如 ,在 2014 年 10 月 发 
布 的 《 云 运 维 管理 接口 技术 要 求 ) 中 规定 了 云 运 维 支 撑 系 统 与 云 资源 管理 平台 、 云 服务 支 
撑 系 统 之 间 的 接口 ,包括 接口 功能 ,协议 和 信息 模型 ,以 支持 云 运 营 文 撑 系 统 实现 云 资源 
运 维 管理 . 云 服 务 保障 管理 . 云 服 务 开通 管理 .特定 云 服 务 运 维 管理 以 及 云 合作 运 维 管理 
等 。 骨 如 ,2015 年 4 月 CCSA 发 布 的 4 云 计 算 基 础 设施 即 服务 (IaasS) 功 能 要 求 》 中 规定 了 
云 计算 IaaS 服务 种 类 和 服务 模式 、 功 能 架构 和 功能 需求 、 接 口 和 安全 要 求 以 及 关键 业务 
流程 。 男 外 ,CCSA 还 开展 了 多 个 云 计 算 标 准 项 目的 研究 ,例如 《2014B49: 基于 公众 网 络 
的 高 速 视 频 云 应 用 平台 的 研究 兴 2012-2244T-YD: 云 计 算 平 台 即 服务 (PaaS) 功 能 要 求 与 
架构 兴 2013B17: 具有 快速 啊 应 需求 的 交互 式 云 应 用 》 等 。 此 外 ,CCSA 还 针对 政务 云 开 
展 了 《基于 云 计 算 的 电子 政务 公共 平台 安全 服务 安全 要 求 兴 基于 云 计 算 的 电子 政务 公共 
平台 技术 功能 和 性 能 评测 技术 要 求 兴 基于 云 计 算 的 电子 政务 公开 平台 总 体 顶 层 设 计 导 
则 《基于 云 计 算 的 电子 政务 公共 平台 总 体 服务 建设 实施 规范 ) 等 多 个 标准 的 课题 研究 , 主 
要 包括 总 体 类 技术 类 .服务 类 安全 类 以 及 管理 类 五 大 系列 标准 。 


3. 全 国信 息 安 全 标准 化 技术 委员 会 

全 国信 息 安 全 标准 化 技术 委员 会 成 立 于 2002 年 4 月 ,是 信息 安全 技术 专业 领域 从 事 
信息 安全 标准 化 工作 的 技术 工作 组 织 。 全 国信 息 安 全 标准 化 技术 委员 会 以 专家 为 主体 组 
成 ,其 下 分 设 了 WGI1( 信 息 安 全 标准 体系 与 协调 工作 组 )\WG2( 涉 密 信 息 系 统 安全 你 密 
标准 工作 组 )WG3( 密 码 技术 标准 工作 组 ) 等 多 个 工作 组 。 全 国信 息 安 全 标准 化 技术 委 
员 会 负责 组 织 开 展 与 国内 信息 安全 有 关 的 标准 化 扩 术 工作 ,其 工作 范围 履 关 了 安全 技术 、 
安全 服务 .安全 评 佑 、 安 全 管理 .安全 机 制 等 领域 。 随 厦 新 技术 和 新 应 用 的 兴起 及 快速 发 
展 , 其 工作 重心 逐渐 回应 用 和 服务 安全 标准 转移 ,在 云 计算 、 物 联网 移动 互联 网 、 乔 芒 城 
市 .工业 控制 系统 等 领域 都 已 经 开展 了 国家 标准 化 工作 ,并 形成 了 阶段 性 的 标准 化 工作 成 
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采 。 目前, 全国 信息 安全 标准 化 技术 委员 会 承担 了 多 项 云 计算 安全 相关 项 目 ,其 下 设 的 工 
作 组 开展 了 《 云 计算 安全 参考 架构 闪 信 息 安全 拉 术 云 计 算数 据 中 心安 全 建设 指南 闪 信 息 
安全 技术 公有 云 安全 指南 兴 云 计算 安全 及 标准 研究 报告 ) 等 多 个 专门 针对 云 计 算 安 全 的 
标准 的 这 题 钱 究 。 


4. 公安 部 信息 安全 等 级 保护 评估 中 心 

公安 部 于 1997 年 建立 了 公安 部 信息 安全 等 级 保护 评估 中 心 ,该 中 心 是 公安 部 承担 或 
参与 国家 标准 ,行业 标准 的 制定 修订 和 标准 验证 的 机 构 , 不 仅 承 担 标准 方面 的 工作 ,还 包 
括 以 下 工作 : 对 国内 生产 和 销售 的 计算 机 信息 系统 安全 产品 .在 国内 销售 的 国外 计算 机 
信息 系统 安全 产品 进行 质量 监督 检测 ,主要 内 容 包括 产品 质量 检测 .鉴定 检验 .监督 抽查 
检验 .委托 检测 以 及 仲裁 检测 ;对 国内 的 网 络 信 息 安 全 系统 进行 安全 及 风险 评 佑 等 。 目 
前 ,公安 部 信息 安全 等 级 保护 评 佑 中 心 已 经 牵头 起 草 了 多 项 云 计 算 安 全 的 相关 标准 ,其 采 


旧 是 加 强 网 络 信息 系统 安全 专用 产品 的 管理 ,保证 安全 专用 产品 的 安全 功能 ,维护 网 络 信 
息 系统 的 安全 。 


ei 云 计 算 安 全 管理 工作 


近 几 年 ,作为 第 三 次 IT 浪潮 代表 的 云 计算 技术 在 全 球 汇 围 内 掀起 了 一 股 热潮 ,各 国 
政府 及 IT 公司 纷纷 投入 到 云 计 算 拉 术 的 人 研发 和 应 用 中 来 。 云 计算 的 发 展 改 变 了 人 类 的 
生活 ,生产 以 及 商业 模式 ,例如 ,企业 只 需要 申请 账号 并 按 需 付费 ,就 可 以 使 用 云 服务 ,不 
再 需要 自 建 数据 中 心 等 。 云 计算 不 断 地 发 展 和 普及 , 随 之 而 来 的 还 有 全 新 的 网 络 威胁 、 数 
据 泄 露 等 风险 。 各 国产 业界 和 学 术 界 的 科研 工作 者 都 加 紧 开 展 对 云 安全 管理 的 深入 研 
究 , 多 数 云 服 务 提 供 商 也 部 署 了 安全 管理 措施 来 保 隐 云 平台 的 安全 性 ,例如 Google 公司 
在 云 安全 方面 实现 了 可 信 云 安全 的 接 和 人 服务 管理 .可 信 云 安全 产品 管理 .可 信 云 安全 企业 

管理 等 。 作 为 国际 上 具有 代表 性 的 信息 安全 管理 体系 标准 ,信息 安全 体系 标准 ISO/ 
IEC 27001 已 经 获得 世界 各 国政 府 \ 证 券 、 银 行 、 保 险 公 司 、 网 络 公 司 以 及 许多 跨国 公司 的 
广泛 认可 。CSA 提出 的 云 控制 矩阵 (Cloud Controls Matrix,CCM) 在 ISO/IEC 27001 的 
基础 上 结合 云 计 算 的 特点 ,制定 了 云 计 算 安 全 管理 的 要 求 ,CCM 还 提供 了 基本 的 安全 原 
则 以 及 多 个 域 的 控制 措施 ,指导 云 服 务 提供 商 和 云 客 户 评 佑 云 服 务 提 供 商 提供 的 整个 云 
计算 的 安全 风险 , 现 已 成 为 业界 公认 的 安全 标准 和 法 规 。 通 过 云 计 算 安 全 管理 体系 的 建 
并 运行 和 改进 ,可 以 进一步 规范 企业 的 云 计算 安全 管理 工作 ,确保 企业 云 服务 的 安全 。 

云 计算 在 安全 管理 方面 仍然 面临 着 很 多 挑战 。 例 如 ,在 管理 权 方 面 , 云 计算 环境 下 用 
户 将 他 们 的 应 用 系统 和 数据 都 迁移 到 了 云 闫 , 交 由 云 服 务 提 供 商 管理 ,在 这 种 云 计 算数 据 
管理 权 与 所 有 权 相 分离 的 情况 下 ,是 否 应 该 给 云 服 务 提 供 商 提供 一 些 具 有 高 级 权限 的 管 
理 是 一 个 值得 考 感 的 问题 ;在 监管 方面 , 云 计算 环境 具有 高 度 虚 拟 化 动态 性 .复杂 性 ` 海 
量 数据 等 特性 ,这 些 特性 给 云 计 算 的 安全 监管 市 来 了 巨大 挑战 ;在 审计 取证 方面 , 云 计算 
环境 具有 大 数据 量 、 边 界 模 糊 、 复 用 资源 环境 等 特征 ,因此 云 服 务 提 供 商 的 安全 审计 工作 
面临 着 很 大 的 挑战 ,取证 工作 难度 很 大 ,同时 云 计 算 的 安全 运 维 比 起 传统 信息 系统 所 面临 
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的 运 维 管理 更 具有 难度 和 挑战 性 。 

在 云 计 算 安 全 管理 方面 有 几 个 重要 的 领域 ,分 别 是 云 计 算 风 险 管 理 ` 云 计算 安全 基线 
管理 以 及 云 计 算 应 急 啊 应 管理 。 这 几 个 领域 对 于 保证 云 计算 中 心 的 安全 性 以 及 可 持续 性 
有 关 很 重要 的 意义 。 下 面 分 别 对 其 进行 介绍 。 


1. 云 计 算 风 险 管 理 

基于 云 计 算 的 风险 管理 是 建立 云 计 算 安全 管理 体系 的 前 提 , 同 时 也 是 确定 用 户 安全 
需求 最 主要 的 途径 之 一 , 它 主 要 是 围 线 云 计算 的 风险 开展 评估 处理 以 及 探 制 活动 ,是 云 
计算 管理 的 重要 内 容 。 

云 计算 中 的 风险 管理 需要 对 云 计 算 中 的 风险 进行 辨别 ,评估 风险 出 现 的 概率 以 及 产 
生 的 影响 ,然后 建立 一 个 规划 来 管理 风险 。 云 服务 提供 商 在 对 云 计算 进行 安全 管理 时 ,要 
根据 云 计算 信息 系统 的 重要 性 以 及 面临 的 风险 大 小 等 因素 来 综合 平衡 风险 成 本 ,确定 云 
计算 安全 体系 中 的 各 种 安全 风险 等 级 ,选择 合适 的 云 安全 解决 方案 ,避免 出 现 “ 过 保护 ”和 
“ 欠 保 护 ” 的 现象 。 

在 云 计算 环境 下 ,进行 风险 管理 的 主要 目标 就 是 预防 风险 ,通过 对 云 计 算 进 行 风 险 评 
估 , 云 服务 提供 商 可 以 系统 、 全 面 地 掌握 当前 云 计算 的 安全 状况 , 找 出 潜在 的 安全 风险 ,并 
对 其 进行 合理 分 析 , 判 断 风 险 的 严重 性 和 影响 程度 ,从 而 更 好 地 确定 自身 在 云 计算 安全 奸 
设 方面 的 需求 。 同 时 , 云 服 务 提供 商 也 可 以 依据 风险 评估 内 容 与 结果 来 确定 最 终 对 信息 
资产 的 保护 措施 以 及 控制 方式 ,根据 目 刁 的 弱点 、 各 种 资产 面临 的 安全 威胁 等 确定 具体 的 
安全 需求 。 


2. 云 计 算 安 全 基线 管理 

为 保证 信息 系统 的 稳定 运行 ,管理 人 员 需 要 在 云 计 算 业 务 系 统 的 整个 生命 周期 的 各 
个 环节 对 网 上 的 设备 以 及 系统 安全 配置 进行 定期 检查 ,其 遭 守 的 最 低 安全 标准 就 是 安全 
基线 。 安 全 基线 是 信息 系统 所 需 满 足 的 最 基本 的 安全 要 求 。 针 对 云 计 算 信 息 系 统 建立 安 
全 基线 是 保障 云 计 算 信 息 系 统 安全 运行 的 必要 步骤 , 云 计算 信息 系统 网 络 结构 复杂 ,服务 
全 种 类 繁多 , 运 维 人 员 容 易 发 生 误 操作 或 采用 初始 系统 设置 而 忽略 对 安全 控制 的 要 求 , 从 
而 给 信息 系统 造成 极 大 的 影响 。 建 立 安全 基线 可 以 防止 上 述 状况 的 发 生 。 

安全 基线 模型 以 业务 系统 为 核心 ,分 为 业务 层 、 功 能 染 构 层 以 及 业务 实现 屋 。 其 中 ， 
业务 层 主 要 根据 不 同业 务 系 统 的 特性 定义 不 同安 全 防护 要 求 ;功能 染 构 层 将 业务 系统 分 
解 为 对 应 的 应 用 系统 、 网 络 设备 数据库 、 安 全 设备 等 不 同 设备 和 系统 模块 ,这些 模块 将 业 
务 层 定义 的 安全 防护 要 求 细 化 为 该 层 不 同 模 块 所 应 该 具备 的 要 求 , 例 如 将 安全 防护 要 求 
细 化 成 为 Windows 安全 基线 、 路 由 兹 安全 基线 每 可 执行 和 实现 的 要 求 ;业务 实现 层 根据 
业务 系统 的 特性 ,将 功能 架构 层 的 各 个 模块 进一步 分 解 , 例 如 ,将 网 络 设备 模块 分 解 为 路 
由 融 .交换 机 等 系统 模块 。 

以 上 介绍 了 安全 基线 模型 的 构成 。 下 面 结合 实例 分 析 安 全 基线 模型 如 何 应 用 于 云 计 
算 中 心 。 

云 计 算 中 心 需 要 通过 互联 网 的 接口 为 互联 网 用 户 提 供 服 务 , 而 这 些 互联 网 的 接口 会 
受到 互联 网 中 各 种 蠕虫 的 攻击 威胁 。 因 此 , 云 计算 安 全 基线 模型 在 业务 层 定义 了 需要 防 
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汇 蠕 虫 攻击 的 要 求 ; 在 功能 架构 层 将 蠕虫 攻击 的 防护 要 求 细 化 为 操作 系统 、 网 络 设备 、 网 
络 染 构 以 及 安全 设备 等 模块 所 对 应 的 安全 防护 要 求 ; 在 业务 实现 层 针对 各 种 不 同 的 安全 
威胁 以 及 功能 架构 层 中 的 不 同 模块 制定 可 执行 和 实现 的 要 求 ,例如 ,针对 不 同类 型 的 蠕虫 
病毒 威胁 ,在 Windows、 Linux 等 不 同 操 作 系 统 里 定义 不 同 的 有 具体 防范 要 求 。 

云 计 算 信 息 系 统 中 的 安全 基线 设计 范围 广 沁 ,整个 过 程 贯穿 于 信息 系统 的 全 部 生命 
周期 ,是 一 个 很 复杂 的 系统 工程 ,因此 需要 结合 信息 系统 的 风险 评 信 报告 做 好 安全 基线 建 
立 、. 洛 实 以 及 管理 过 程 的 规划 , 邯 愿 好 如 何 规划 及 动态 上 黎 兰 到 云 计 算 环 境 中 业务 和 操作 的 
各 种 安全 行为 。 


3. 云 计 算 应急 啊 应 管理 

应 急 啊 应 指 的 是 云 计算 信息 系统 在 党 到 攻击 时 如 何在 安全 寅 略 的 指导 下 及 时 发 现 问 
题 并 迅速 啊 应 ,这 是 保障 云 计算 信息 系统 安全 的 重点 。P2DR (Policy, Protection， 
Detection, Response) 模 型 是 日 前 国内 外 信息 系统 中 应 用 最 广泛 的 动态 安全 模型 ,该 模型 
是 以 安全 芝 上 略为 中 心 的 动态 日 适应 网 络 安全 模型 。 根 据 P2DR 模型 构筑 的 网 络 安全 体系 
能 够 在 统一 安全 策略 (Policy) 的 控制 和 指导 下 ,综合 运用 防火 场 、. 号 份 认证 等 防护 
(Protection) 工具 ,并 利用 漏洞 评 佑 、 和信 侵 检测 系统 等 检测 (Detection) 工具 来 了 解 和 判断 
网 络 系统 的 安全 状态 ,通过 适当 的 啊 应 (Response) 措 施 来 降低 网 络 系 统 面 临 的 安全 风 
险 。 防 护 、 检 测 和 啊 应 组 成 了 一 个 完整 的 动态 安全 循环 ,如 图 3-1 所 示 。 


事前 : 防护 


(Protection) 


事后 : 啊 应 
(Response) 


束 略 
(Policy) 


> 


事 中 : 检测 
(Detection) 


图 3-1 动态 安全 循环 


结合 P2DR 模型 ,可 以 将 云 计 算 安 全 事件 处 理 分 为 事前 、 事 中 以 及 事后 3 个 阶段 : 

(1) 事前 。 明 确 边 界 并 划分 安全 区 域 , 将 要 保护 的 资源 与 攻击 者 隔离 开 , 做 好 安全 保 
护 工 作 。 

(2) 事 中 。 应 进行 动态 监控 ,在 边界 内 要 注意 用 户 的 异常 行为 ,在 边界 外 要 观察 攻击 
者 的 动向 , 抓 住 非法 入侵 系统 的 攻击 者 、 

(3) 事后 。 应 该 取证 以 追究 责任 人 ,通过 追查 人 侵 者 进入 的 途径 , 找 出 系统 防护 体系 
以 及 监控 体系 的 漏洞 ,避免 让 人 侵 者 再 次 进入 。 

以 上 分 析 的 是 云 计算 安全 管理 的 3 个 重要 领域 ,由 此 可 见 , 云 计算 安全 管理 体系 的 建 
立 是 一 项 系统 工程 。 一 般 而 言 , 整 个 云 计 算 安 全 管理 实施 的 周期 分 为 4 个 阶段 ,分 别 是 准 
备 阶 段 、 风险 评 佑 阶段. 云 计 算 安 全 管理 系统 文件 建立 阶段 以 及 云 计算 安全 管理 体系 运行 
和 完善 阶段 : 
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(1) 准备 阶段 。 该 阶段 的 主要 任务 是 建立 云 计 算 安 全 组 织 机 构 , 进 行 云 计算 安全 相 
天 培训 ,识别 云 计算 安全 现状 与 标准 之 间 的 差距 ,并 制订 详细 的 实施 计划 ,明确 云 安 全 管 
理工 作 实 施 不 同 阶段 的 工作 职责 和 工作 任务 。 

(2) 风险 评 佑 阶段。 确定 风险 评 佰 方法 ,包括 确定 风险 接受 准则 等 ,要 针对 各 个 关键 
业务 过 程 识别 并 建立 重要 的 云 计 算 信 息 资 产 清单 ,并 对 识别 出 的 关键 信息 资产 进行 风险 
评估 ,根据 资产 的 主要 威胁 、 脆 弱 性 以 及 有 关 的 影响 程度 制订 风险 处 理 计 划 。 

(3) 云 计算 安 全 管理 体系 文件 建立 阶段 。 根 据 差 距 分 析 和 风险 评估 结果 建立 公司 的 
云 计 算 安 全 管理 体系 文件 , 且 需 要 在 建立 文件 的 时 候 考 虑 融合 其 他 管理 体系 (例如 ISO/ 
IEC 27001 等 )。 该 体系 文件 一 般 分 为 4 个 层次 ; 第 一 层 文件 包括 云 计算 安全 管理 方针 、 
云 计 算 安 全 管理 范围 、 云 计算 安全 管理 手册 以 及 适用 性 申明 等 方面 的 文件 ,第 二 层 文件 是 
描述 过 程 的 程序 文件 ,第 三 层 文 件 是 为 组 织 活 动 提 供 指 导 的 作业 指导 书 , 第 四 层 文 件 是 符 
合 CCM 条 蒜 和 ISMS(Information Security Management System ,信息 安全 管理 体系 ) 的 
记录 文件 。 

(4) 云 计算 安全 管理 体系 运行 和 完善 阶段 。 试 运行 已 经 建立 的 云 计算 安全 管理 体 
系 ,检验 体系 的 适合 性 和 有 效 性 ,对 存在 问题 的 部 分 进一步 加 以 完善 。 

在 整个 云 计算 安全 管理 实施 周期 中 ,风险 评估 和 体系 文件 建立 这 两 个 阶段 最 为 重要 ， 
其 中 风险 评 佑 是 云 计算 安全 管理 体系 建立 的 基础 ,也 是 体系 文件 运行 的 依据 。 


5 云 计算 安全 评估 及 相关 模型 


3.3.1 云 计 算 安全 评估 概述 

言 息 安全 风险 评估 是 指 根据 有 关 信 息 安全 技术 和 管理 标准 ,对 信息 系统 及 其 处 理 , 传 
输 和 存储 的 信息 的 机 蜜 性 、 完 整 性 以 及 可 用 性 等 安全 属性 进行 评估 的 过 程 。 由 于 云 计 算 
中 数据 的 处 理 、 传 输 和 存储 都 依赖 于 互联 网 和 相应 的 云 计 算 平 台 ,数据 的 流动 性 对 用 户 而 
言 是 不 可 见 的 ,因此 传统 的 信息 安全 风险 评估 方法 在 云 计 算 环 境 下 并 不 适用 , 云 计算 环境 
需要 有 一 套 相 应 的 度量 指标 和 评估 方法 。 

根据 评估 对 象 的 实际 情况 , 云 计 算 系 统 安 全 风险 评估 的 流程 一 般 如 图 3-2 所 示 。 在 
云 计 算 环 境 下 ,由 于 云 计算 侧重 于 服务 ,更 多 地 依赖 于 网 络 ,其 安全 性 会 受到 云 计 算 平 台 
和 网 络 状 况 的 影响 ,因此 云 计算 安全 风险 评估 一 般 是 从 存储 .计算 和 网 络 这 3 个 方面 给 
出 ; 存储 服务 一 般 是 通过 建立 分 布 式 的 存储 中 心 来 实现 基于 网 络 的 高 效 分 布 式 存储 , 因 
此 在 进行 安全 风险 评 佑 的 时 候 要 考虑 数据 的 安全 性 ,包括 数据 的 加 密 手 段 ,数据 存储 的 备 
份 手段 以 及 数据 分 散 情 况 等 ;计算 服务 一 般 是 通过 租赁 计算 设备 或 信 助 统一 平台 来 实现 
的 ,因此 在 对 计算 服务 进行 安全 风险 评估 时 ,需要 考虑 租赁 计算 设备 的 运行 可 靠 性 ,以 及 
统一 平台 的 数据 加 密 方式 .是否 允 许 特 权 用 户 访 问 等 安全 问题 ;网 络 服 务 的 安全 风险 评估 
则 应 考虑 网 络 基础 设施 的 运营 情况 ,以 及 是 否 备 份 了 多 个 网 络 接 入 设备 ,是 否 能 满足 计算 
和 存储 需要 等 问题 。 

结合 传统 的 安全 风险 评估 方法 ,针对 不 同 云 计算 服务 的 安全 评估 方法 可 以 从 资产 识 
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评估 准备 


要 对 识别 


”应 用 云 计算 ? ， 


ll 


9 基于 云 计算 的 评估 方法 
传统 评 佑 方法 


确定 风险 验收 


图 3-2 ” 云 信息 系统 安全 评估 流程 


别 .威胁 识别 .脆弱 性 识别 和 赋值 .风险 评估 和 分 析 这 4 个 方面 给 出 。 下 面 对 这 几 个 方面 
进行 介绍 。 

(1) 资产 识别 。 包 括 资 产 分 类 和 资产 赋值 。 其 中 ,资产 分 类 是 指 对 文档 信息 、 软 件 信 
恩 、 云 存储 设施 等 也有 的 云 计算 平台 资源 进行 列表 ;而 资产 赋值 指 的 是 根据 列表 中 各 种 资 
产 在 每 评 信 的 信息 系统 里 的 重要 程度 ,及 取 等 级 评定 的 方法 对 资产 进行 赋值 ,通常 将 资产 
的 机 密 性 .完整 性 和 可 用 性 这 3 个 属性 划分 为 5 个 等 级 ,分 别 用 5、4、3、2、1 来 表示 很 高 、 
高 .中 等 、 低 和 很 低 。 

(2) 威胁 识别 。 包 括 威 胁 分 类 和 威胁 赋值 。 其 中 ,威胁 分 类 指 的 是 根据 相关 报道 或 
渗透 检测 工具 对 可 能 存在 的 安全 威胁 进行 分 类 ;威胁 赋值 即 根据 威胁 发 生 的 频率 进行 
赋值 。 

(3) 脆弱 性 识别 和 峰值。 包括 脆弱 性 识别 和 脆弱 性 赋值 。 其 中 ,脆弱 性 识别 指 的 是 
对 于 不 同 的 云 计 算 平 台 以 及 不 同 的 基础 架构 ,根据 其 规模 、 计 算 平 全 的 可 审查 性 、 数 据 隔 
离 指 施 .数据 位 置 .数据 恢复 措施 、 是 否 允 许 特权 用 户 的 接 入 等 特性 来 识别 可 能 引起 安全 
事故 的 脆弱 性 ;有 弱 性 赋值 指 的 是 对 于 一 个 给 定 的 脆弱 性 ,通常 用 0 和 1 来 表示 其 不 存在 
或 存在 。 

(4) 风险 评估 和 分 析 。 即 分 析 威 胁 和 鹏 弦 性 的 关联 关系 ,得 到 安全 事件 发 生 的 可 能 
性 。 在 进行 风险 评 信 和 分 析 时 ,首先 要 确定 哪些 资产 受到 了 影响 ,然后 计算 安全 事件 发 生 
后 的 损失 。 

风险 的 级 别 十 根据 事件 发 生 的 可 能 性 和 造成 损失 的 大 小 来 评 佑 的。 事件 发 生 的 可 能 
性 指 的 是 攻击 者 利用 漏洞 成 功 实 施 攻击 的 概率 。 每 个 事件 发 生 的 可 能 性 和 业务 上 造成 的 
损失 是 由 参与 评估 的 专家 小 组 根据 经 验 共 同 给 出 的 。 

在 云 计算 的 安全 风险 评估 中 ,不 仅 要 比较 和 分 析 存 储 在 不 同位 置 的 数据 的 风险 ,还 要 
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比较 和 分 析 存 储 在 自己 可 控 范 围 内 的 数据 的 风险 。 男 外 , 合 规 性 也 是 风险 评估 的 一 个 方 
面 ,例如 ,用 户 在 工作 中 给 其 他 人 发 送 电 子 文档 时 必须 遵守 存储 在 云 中 的 电子 文档 的 安全 
规范 。 云 计算 的 安全 风险 一 般 会 随 着 云 架 构 的 不 同 而 发 生 较 大 的 变化 ,同时 风险 还 与 云 
服务 的 价格 有 关 。 

为 了 评价 国内 组 织 的 云 安全 管理 能 力 成 熟 度 , 完 宝 认证 中 心 与 云 安 全 联盟 (CSA) 针 
对 我 国 云 计算 环境 推出 了 C-STAR 评估 业务 ,并 在 信息 安全 工程 能 力 成 熟 度 模型 (SSE- 
CMM) 的 基础 上 ,结合 C-STAR 云 安 全 管理 评估 自身 的 特点 ,开发 了 STAR 云 安全 管理 
能 力 成 熟 度 模型 。 下 面 简要 介绍 SSE-CMM 信息 安全 工程 能 力 成 熟 度 模型 以 及 C-STAR 
云 安全 管理 能 力 成 熟 度 模型 。 


3.3.2 ”SSE-CMM 模型 


SSE-CMM 模型 将 系统 安全 工程 划分 为 3 个 可 以 独立 加 以 考虑 的 基本 过 程 ,分 别 是 
风险 过 程 、 工 程 过 程 以 及 保证 过 程 ,如 图 3-3 所 示 。 这 3 个 过 程 共 同 实 现 了 安全 工程 过 程 
结果 所 要 达到 的 安全 目标 。 有 具体 来 说 ,在 最 简单 的 级 别 上 ,这 3 个 过 程 的 关系 是 : 风险 过 
程 识 别 出 所 开发 的 产品 或 系统 的 危险 性 并 对 这 些 危险 性 进行 优先 级 排序 ;针对 风险 过 程 
得 出 的 危险 性 所 面临 的 问题 ,工程 过 程 将 会 与 其 他 工程 一 起 来 确定 和 实施 解决 方案 ;最 
后 ,保证 过 程 将 建立 解决 方案 的 可 信任 度 并 向 顾客 传达 这 种 信任 。 


SSE-CMM 是 安全 工程 实施 的 标准 度量 标准 , 它 汇 集 了 工业 界 和 常见 的 实施 方法 ,其 内 
容 覆 盖 了 以 下 方面 : 
(1) 整个 生命 周期 ,包括 开发 .运行 .维护 和 终止 、 


(2) 整个 组 织 ,包括 其 中 的 管理 .组 织 和 工程 活动 、 

(3) 与 其 他 规范 并 行 的 相互 作用 ,包括 系统 、 硬 件 、 软 件 . 测试 工程 、 系 统管 理 . 运行 和 
维护 等 。 

(4) 与 其 他 机 构 的 相互 作用 ,包括 获取 、 系 统管 理 . 认 证 .认可 和 评价 等 。 


SSE-CMM 的 模型 包含 域 和 能 力 这 两 个 维度 。 其 中 , 域 维 由 上 所 有 定义 安全 工程 的 过 
程 域 构成 ;能 力 维 则 由 过 程 管 理 和 制度 化 能 力 构 成 ,代表 组 织 能 力 。 在 SSE-CMM 模型 
中 包含 了 对 模型 原理 和 体系 结构 的 全 面 描述 、 对 模型 的 高 层 描述 在 该 模型 中 的 实施 以 及 
对 模型 属性 的 描述 等 。 

SSE-CMM 包含 了 5 个 能 力 级 别 。 其 中 ,能力 级 别 1 是 非 正式 级 ,该 级 别 春 重 于 一 个 
组 织 或 项 目 执行 了 包含 基本 实施 的 过 程 ; 能 力 级 别 2 是 计划 和 跟踪 级 ,该 级 别 着 重 于 项 目 
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层面 的 定义 、 计 划 和 执行 问题 ;能 力 级 别 3 是 充分 定义 级 ,该 级 别 着 重 于 规范 化 地 裁 藤 组 
织 层面 的 过 程 定 义 ; 能 力 级 别 4 是 量化 控制 级 ,该 级 别 着 重 于 与 组 织 业 务 目 标 紧 密 联系 在 
一 起 的 测量 ;能 力 级 别 5 是 连续 改进 级 ,该 级 别 从 前 面 各 级 的 所 有 管理 活动 中 获得 发 展 的 
力量 ,并 通过 加 强 组 织 文化 来 保持 这 个 力量 。 

3.3.3”C-STAR 模型 

C-STAR 云 安 全 管理 能 力 成 熟 度 模 型 用 于 评价 组 织 的 云 安全 管理 能 力 成 熟 度 ,该 模 
型 可 以 评估 被 评估 方 的 云 安全 管理 能 力 , 并 且 能 为 被 评估 方 的 云 安全 管理 体系 的 改进 提 
供 方 向 和 指引 。C-STAR 评估 项 目 采 用 中 立 性 评估 模式 ,对 云 服务 安全 性 开展 续 密 的 第 
三 方 独立 评估 ,并 充分 运用 信息 安全 管理 体系 标准 以 及 CSA 云 控制 矩阵 来 帮助 云 服务 提 
供 商 满足 云 用 户 对 于 云 安 全 性 的 特定 需求 。 

C-STAR 的 评估 一 般 从 以 下 方面 展开 : 应 用 和 接口 安全 .电子 证 据 及 云 问 调查 取证 、 
业务 连续 性 管理 和 操作 弹性 、 变 更 控制 和 配置 管理 ,人力 资 源 、 数 据 安全 和 信息 生命 周期 
管理 .数据 中 心安 全 .加 蜜 和 密 钥 管理 .审计 保证 及 合 规 性 .治理 和 风险 管理 .基础 设施 和 
虚拟 化 安全 、 互 操作 性 和 可 移植 性 .移动 安全 ,安全 事件 管理 .供应 链 管理 .透明 性 及 责任 、 
身份 识别 和 访问 管理 .威胁 和 脆弱 性 管理 。 

应 用 C-STAR 模型 判定 某 项 控制 措施 在 对 应 控制 域 中 所 处 的 能 力 级 别 的 流程 如 下 : 
分 析 各 条 控制 措施 及 与 之 关联 的 管理 过 程 中 的 管理 .测量 和 制度 化 ,判定 其 表现 出 的 特征 
是 否 满 足 某 一 能 力 级别 要 求 ,如 果 满 足 , 则 可 判定 其 处 于 该 能 力 级别 。 

依据 GB/T 20274.3 一 2008《 信 息 安 全 技术 信息 系统 安全 保障 评估 框架 第 3 部 分 : 
管理 保障 以 及 SSE-CMM 信息 安全 工程 师 能 力 成 熟 度 模型 ,并 有 晶 结 合 C-STAR 云 安 全 管 
理 评估 自身 的 特点 ,C-STAR 云 安 全 管理 能 力 成 熟 度 可 以 划分 为 以 下 几 个 级 别 : 

能 力 级 别 0: 未 实施 。 该 级 别 的 云 安 全 管理 控制 措施 通常 不 能 被 成 功 执 行 , 云 安全 管 
理 控制 措施 的 工作 成 果 或 记录 无 法 证 明 云 安全 管理 控制 措施 基本 执行 。 

能 力 级 别 1: 基本 执行 。 该 级 别 的 云 安 全 管理 控制 措施 基本 被 执行 ,但 控制 措施 的 执 
行 可 能 未 经 过 严格 的 计划 和 跟 踊 ,其 执行 依赖 于 云 服务 提供 商工 作 人 员 的 个 人 意识 ,工作 
的 质量 和 性 能 存在 着 不 稳定 性 以 及 重复 性 。 

能 力 级 别 2: 计划 和 跟踪 。 这 一 级 别 对 云 安全 管理 控制 措施 进行 了 良好 的 规划 ,建立 
了 覆盖 云 安全 管理 的 信息 安全 策略 .程序 和 管理 制度 .实施 手册 和 指南 3 层 信 息 安 全 管理 
体系 ,注重 组 织 标 准 管理 的 制度 化 。 

能 力 级 别 3: 充分 定义 。 该 级 别 根据 制定 的 涵盖 云 安全 管理 的 信息 安全 管理 体系 ,能 
够 切实 进行 云 安全 管理 工作 ,完整 实施 CMM 云 安全 控制 矩阵 所 涵盖 的 云 安全 管理 体系 。 
该 级 别 的 安全 管理 保障 控制 措施 的 实施 中 有 充分 定义 的 管理 ,注重 充分 定义 的 管理 的 可 
重复 执行 。 男 外 ,该 级 别 还 能 够 进行 包括 组 内 、 组 间 以 及 与 外 部 组 的 沟通 协调 。 

能 力 等 级 4: 量化 控制 。 该 级 别 能 够 为 组 织 标准 管理 保障 控制 措施 的 实施 效果 建立 
可 测量 的 评价 标准 ,并 收集 、 分 析 执行 的 详细 记录 数据 。 该 级 别 能 适当 测量 和 跟踪 管理 保 
障 控 制 措施 的 实施 有 效 性 ,在 管理 与 计划 间 有 重大 差距 时 能 采取 适当 的 修正 措施 。 

能 力 等 级 5: 持续 改进 。 该 级 别 能 基于 组 织 的 业务 目标 建立 管理 有 效 性 和 效率 的 量 
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化 执行 目标 ,通过 过 程 执行 以 及 试验 性 的 新 概念 和 新 撤 术 产 生 的 量化 反馈 ,实现 基于 这 些 
目标 的 持续 性 过 程 的 改进 。 


3 4 本 章 小 结 


云 计 算 已 成 为 全 球 IT 领域 关注 和 投入 的 重点 领域 ,其 安全 问题 更 是 成 为 关注 的 焦 
点 。 为 了 更 好 地 保障 云 计 算 的 安全 ,在 实施 安全 防护 技术 手段 之 前 ,首先 需要 做 好 云 计 算 
安全 标准 化 制定 ,确定 好 如 何 对 云 计 算 进行 安全 性 评估 等 云 安全 管理 工作 。 本 草 从 云 计 
算 安 全 标准 化 、 云 计算 安全 管理 工作 以 及 云 计算 安全 评估 3 个 层面 阐述 了 云 计 算 安 全 管 
理 方法 ,结合 本 章 的 分 析 介 绍 , 读 者 可 以 在 理论 上 对 云 计 算 安 全 管理 有 一 个 基本 的 认识 。 

从 现 有 的 云 计 算 安 全 管理 相关 的 标准 化 情况 来 看 ,目前 国内 外 云 计算 安全 相关 的 标 
准 组 织 很 多 ,目前 已 经 形成 了 许多 云 计 算 安 全 标准 成 果 , 为 云 计算 提供 了 安全 管理 保障 。 
本 划分 别 从 国际 和 国内 两 个 方面 介绍 了 目前 已 有 的 云 安 全 标准 组 织 及 其 安全 标准 成 果 。 
其 中 ,国际 的 部 分 介绍 了 云 安 全 联盟 (CSA) .欧洲 网 络 与 信息 安全 局 (ENISA) .美国 国家 
标准 与 技术 人 研究 院 (NIST) 等 具有 代表 性 的 国际 和 国外 标准 组 织 及 其 相关 工作 ,国内 部 分 
则 介绍 了 全 国信 息 技 术 标 准 化 技术 委员 会 ,全 国信 息 安全 标准 化 技术 委员 会 .CCSA 等 国 
内 标准 组 织 及 其 相关 工作 。 

本 章 的 云 计算 安全 管理 工作 部 分 主要 从 云 计 算 风 险 管理 \ 云 计算 安全 基线 管理 以 及 
云 计算 应 急 响 应 管理 这 3 个 重要 的 云 计 算 安 全 管理 领域 展开 介绍 ,这 3 个 领域 对 于 保证 
云 计算 中 心 的 安全 性 及 可 持续 性 有 着 重要 的 意义 。 

云 计算 安全 评估 是 对 安全 威胁 的 脆弱 性 骏 露 程度 进行 量化 ,其 评估 结果 可 以 帮助 用 
户 在 选择 云 服务 提供 商 前 根据 上 自己 所 能 承受 的 风险 进行 权衡 。 本 革 的 云 计算 安全 评估 部 
分 先 对 云 计算 的 安全 评估 进行 总 体 介 绍 ,之 后 对 SSE-CMM 和 C-STAR 这 两 个 云 安 全 评 
佑 模型 进行 了 介绍 。 


| 二 日 
(1) 列举 云 计算 安全 管理 方面 的 几 个 重要 领域 ,并 简要 介绍 这 几 个 领域 的 内 容 。 


(2) 简 述 云 信 息 系 统 安全 评 佑 的 流程 。 
(3) SSE-CMM 模型 将 系统 安全 工程 划分 成 哪 3 个 过 程 ? 
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41 基础 设施 安全 概述 


基础 设施 安全 是 云 安全 运行 的 基础 ,保证 了 计算 机 和 网 络 的 安全 连接 。 基 础 设施 安 
全 包括 计算 、 网 络 ,存储 等 云 计 算 资 源 的 安全 。 物 理 设施 、 用 户 的 配置 和 基础 设施 组 件 的 
实现 是 云 计 算 中 所 有 内 容 的 基本 组 成 部 分 。 

在 云 计 算 中 ,基础 设施 有 两 个 层面 。 第 一 个 层面 是 汇集 在 一 起 用 来 构建 云 的 基础 资 
源 , 该 层面 用 于 构建 云 资源 池 的 原始 物理 和 逻辑 的 计算 、 网 络 和 存储 资源 ,例如 用 于 创建 
网 络 资源 池 的 网 络 硬件 和 软件 ;第 二 个 层面 是 由 云 用 户 管 理 的 虚拟 /抽象 基础 设施 ,该 屋 
面 是 指 云 资源 池 中 的 计算 ,网络 和 存储 资源 ,例如 由 云 用 户 定 义 和 管 理 的 虚拟 网 络 ， 

计算 网络、 存储 资源 等 基础 硬件 设施 的 有 效 利用 加 快 了 云 计算 的 发 展 , 而 虚拟 化 技 
术 是 云 计算 实现 的 关键 技术 ,虚拟 化 技术 包括 计算 虚拟 化 .网 络 虚拟 化 .存储 虚拟 化 等 , 虚 
拟 化 技术 提高 了 云 计 算 资 源 的 使 用 效率 。 然 而 ,由 于 云 计 算 环 境 与 传统 IT 环境 最 大 的 
区 别 是 计算 .网 络 和 存储 环境 的 虚拟 化 ,所 以 许多 传统 安全 防护 手段 无 法 得 到 有 效 执行 ， 
进而 引起 了 较 难 控制 的 安全 问题 。 因 此 , 云 计 算 环 境 中 的 基础 设施 安全 是 云 安 全 的 重 中 
之 重 。 


4 2 基础 设施 物理 安全 


强大 、 可 靠 的 虚拟 化 和 分 布 式 计算 技术 推动 了 云 计算 模式 的 成 功 ,其 依赖 于 由 计算 、 
网 络 .存储 等 设备 所 构成 的 物理 层 。 通 常 , 云 计算 基础 设施 包括 从 用 户 桌 面 到 云 服务 器 的 
实际 链 路 中 所 涉及 的 所 有 相关 设备 ,因此 ,为 实现 全 天 候 的 可 靠 性 ,需要 保障 基础 设施 在 
物理 层 的 安全 。 在 云 计 算 环境 的 物理 安全 中 ,基础 设施 所 面临 的 安全 问题 可 分 为 自然 因 
素 .运行 威胁 和 人 为 风险 这 3 个 方面 。 接 下 来 分 别 从 这 3 个 方面 阐述 物理 安全 风险 和 相 
应 的 防护 措施 。 

4.2.1 自然 因素 

自然 因素 就 是 自然 界 中 的 不 可 抗力 ,例如 地 震 、 洪 水 等 。 自 然 因素 往往 难以 预测 , 因 
此 当 设 备 损毁 和 链 路 发 生 故 障 时 ,会 严重 损坏 云 计算 基础 设施 ,同时 伴随 着 用 户 数 据 、 配 
置 文件 的 丢失 ,应 用 系统 在 长 时 间 内 难以 恢复 正常 运行 。 为 增强 云 计算 基础 设施 对 自然 
因素 的 防御 能 力 , 可 以 考虑 物理 手段 和 技术 手段 这 两 方面 。 


1. 物理 手段 

在 为 云 计算 中 心 选 址 时 ,可 以 选择 地 理 环境 较 好 的 地 区 ,并且 对 建筑 结构 .抗震 等 级 
提出 一 定 的 要 求 ,以 减少 或 避免 自然 因素 带 来 的 损失 ; 云 计算 中 心 还 需 考 虑 到 基础 设施 在 
恶劣 天 气 以 及 极端 情况 下 的 防护 能 力 ,例如 是 否 能 够 有 效 抵御 风暴 ,是 否 能 够 降低 低温 、 
高 温 潮湿 环境 带 来 的 影响 ;对 于 通信 和 链 路 的 防护 , 云 计算 中 心 可 使 用 加 固 , 深 埋 的 方法 来 
实现 。 

2. 技术 手段 

自然 因素 所 造成 的 基础 设施 的 损坏 ,很 容易 使 云 计 算 服 务 出 现 部 分 或 完全 中 断 的 情 
况 , 从 而 造成 较为 严重 的 后 果 。 因 此 ,保证 业务 的 连续 性 显得 尤为 重要 。 通 过 在 不 同 地 点 
建立 多 个 备份 和 处 理 中心 , 可 以 有 效 地 保证 业务 的 连续 性 ,一 旦 某 个 地 点 的 设备 发 生 故 
障 ,能 够 较 快 恢复 服务 的 正常 运行 。 

4.2.2 ”运行 威胁 

运行 威胁 指 云 计算 基础 设施 在 运行 过 程 中 由 于 直接 或 间接 原因 导致 的 安全 问题 。 运 
行 威胁 会 使 云 服 务 性 能 下 降 ,甚至 造成 服务 中 断 和 数据 丢失 ,因此 ,必须 采取 一 定 的 防护 
措施 来 保障 云 基 础 设施 ,从 而 在 物理 层面 保障 云 计 算 中 各 类 资源 的 安全 。 接 下 来 主要 从 
能 源 安 全 和 设备 安全 两 方面 考虑 运行 威胁 的 防护 措施 。 


1. 能 源 安 全 

云 计算 环境 中 的 能 源 安全 分 为 能 源 供应 安全 和 能 源 消 耗 安 全 。 

对 于 能 源 供应 安全 问题 ,电力 是 所 有 电子 设备 运行 的 必 备 条 件 , 而 在 云 计 算 环 境 中 ， 
各 类 集群 规模 和 业务 负载 对 电力 供应 的 要 求 各 有 不 同 。 因 此 ,为 保证 在 意外 断 电 情况 下 
云 计 算 基 础 设施 依旧 能 够 正 稼 运行 , 云 计算 中 心 需 根 据 不 同 设备 的 供电 需求 配备 相应 的 
紧急 电源 和 不 间断 电源 系统 。 其 中 ,紧急 电源 包括 发 电机 和 一 些 必要 装置 ,不 间断 电源 包 
括 蓄电池 和 检测 设备 等 。 虽然 该 措施 能 够 有 效应 对 意外 断 电 的 情况 ,但 是 仍 需 立即 进行 
电力 修复 以 降低 临时 能 源 耗 尽 所 审 来 的 损失 。 

对 于 能 源 消 耗 安 全 问题 ,由 于 服务 需 容 量 较 大 ,集成 度 较 高 , 云 计算 环境 会 消耗 大 量 
能 源 ,因此 设备 和 部 件 温 度 也 会 随 之 上 升 , 从 而 引发 系统 性 能 下 降 甚 至 石 机 等 安全 隐患 。 
因此 ,需要 在 云 计 算 环 境 中 配备 冷却 系统 ,冷却 系统 需要 具备 全 时 、 高 效 、 稳 定 的 制冷 能 
力 ,并且 能 够 在 保持 室内 温 湿 度 均衡 的 条 件 下 提高 能 效 比 ,优化 电力 利用 率 。 除 此 之 外 ， 
灰尘 也 会 影响 基础 设施 的 能 源 利用 率 , 因 此 需 对 云 计 算 环 境 实施 一 定 的 除尘 净化 措施 。 

2. 设备 安全 

任何 系统 的 运行 都 会 造成 设备 的 损耗 , 云 计 算 中 的 磁盘 阵列 .内存 、CPU 的 使 用 寿命 
是 有 限 的 ,一 旦 设备 因 损 耗 而 发 生 故 隐 , 将 会 造成 业务 的 中 断 。 特 别 是 云 计 算 中 的 磁盘 阵 
列 长 期 处 于 高 负荷 运行 状态 ,因此 需要 经 常 对 其 进行 分 布 式 元 余 处 理 , 从 而 保证 数据 可 以 
完全 恢复 。 同 时 ,为 了 能 及 时 处 理 紧 急事 件 ,可 根据 需要 配备 一 些 稼 用 的 备件 。 
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4.2.3 ”人 为 风险 


人 为 风险 主要 是 指 由 云 服务 提供 商 内 部 人 员 或 外 部 其 他 人 员 威 胁 到 云 计 算 环 境 安 全 
的 行为 对 云 计算 环境 造成 的 风险 。 由 于 人 为 风险 一 般 无 法 立即 锌 发 现 ,因此 需要 预先 设 
定 一 系列 防护 手段 。 人 为 风险 可 分 为 员工 误 操 作 和 亚 意 攻击 。 


1. 员工 误 操 作 

在 云 日 常 管理 中 , 云 服务 提供 商 内 部 人 员 由 于 不 熟悉 操作 方法 而 造成 功能 误 用 ,进而 
使 云 服务 提供 商 或 用 户 数据 受到 损失 。 因 此 , 需 对 员工 进行 相关 技术 培训 ,并 建立 责任 人 
制度 ,让 员工 明白 自己 每 一 步 操作 产生 的 影响 和 后 果 。 


2. 恶意 攻击 

晋 意 攻 击 包 括 物理 人 侵 和 技术 人 侵 。 物 理 人 侵 就 是 合法 或 非法 人 员 在 云 计 算 基 础 设 
施 的 部 署 场所 进行 恶意 操作 ,可 使 用 传统 的 物理 方法 进行 有 效 防御 ,例如 门 蔡 、 视 频 监 控 
等 ,也 可 配备 安全 警 工 。 技 术 人 侵 就 是 利用 网 络 攻 击 手 段 人 侵 系 统 , 从 而 威胁 系统 安全 。 
社会 工程 学 攻击 是 入侵 系统 成 功率 较 高 的 一 种 方法 。 社 会 工程 学 是 指 攻 击 者 利用 人 类 心 
理 骗 取 受 害 人 员 的 信任 ,在 取得 信任 后 请 求 执 行 搜 集 用 户 信 息 、 了 解 系统 运行 状况 等 操 
作 , 从 而 实现 非法 .越权 操作 ,进而 危害 系统 安全 或 造成 数据 信息 泄露 。 因 此 , 云 计算 中 心 
震 严 格 执行 届 份 认证 等 安全 策略 ,以 保证 系统 安全 。 


4 3 基础 设备 虚拟 化 安全 


4.3.1 设备 虚拟 化 概述 


虚拟 化 拉 术 是 云 计算 发 展 的 关键 。 云 计算 中 的 虚拟 化 主要 是 对 云 计 算 环 境 中 资源 的 
逻辑 表示 。 虚 拟 化 为 计算 资源 .存储 资源 、 网 络 资源 等 其 他 资源 提供 了 一 个 逻辑 视图 , 简 
化 了 资源 的 访问 和 管理 过 程 。 

利用 虚拟 化 技术 可 以 对 计算 机 资源 进行 抽象 整合 , 它 屏 蔽 了 物理 人 硬件 的 复 洒 性 , 念 
走 ,整合 或 分 解 了 现 有 的 服务 功能 ,同时 增加 或 集合 了 新 的 功能 。 接 下 来 主要 介绍 网 络 设 
备 虚 拟 化 技术 。 

网 络 设 备 虚 拟 化 技术 的 应 用 可 以 实现 网 络 资源 灵活 扩容 、 按 需 分 配 , 从 而 有 效 提 高 
网 络 系统 可 徘 性 ,减少 网 络 故 隐 收 伊 时 间 ,提高 网 络 资源 利用 率 , 徐 化 网 络 管理 。 文 持 
虚拟 化 的 网 络 设备 有 很 多 ,例如 交换 机 、 路 由 需 、 防 火 二 等。 第 见 的 网 络 设 备 虚 拟 化 拉 
术 基本 上 可 以 分 为 3 类 : N : 1 虚拟 化 横向 堆 秋 技术、N : 1 虚拟 化 纵向 堆 秋 技术 、1 : N 
虚拟 化 。 

1. N : 1 虚拟 化 横向 堆 又 技术 

横 癌 堆 笃 技术 通常 指 的 是 把 多 个 同一 类 型 的 设备 通过 特定 的 链 路 连接 起 来 ,在 逻辑 
上 作为 一 个 设备 使 用 。 村 各 堆 芋 的 网 络 染 构 与 传统 的 网 络 染 构 相 比 具 有 以 下 4 个 优势 : 
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(1) 简化 了 协议 配置 。 

使 用 虚拟 化 技术 后 ,多 个 成 员 设 备 在 逻辑 上 成 为 一 个 设备 ,从 而 简化 了 设备 管理 , 管 
理 员 对 虚拟 的 逻辑 设备 管理 进行 配置 即 可 ,并 且 在 配置 文件 中 取消 了 单一 网 关 的 使 用 ， 
此 无 须 配 置 多 个 IP 地 址 。 

(2) 避免 环 路 的 出 现 。 

虚拟 化 技术 使 多 个 设备 在 逻辑 上 成 为 一 个 设备 ,避免 了 逻辑 环 路 的 出 现 , 并 且 不 再 使 
用 生成 树 协 议和 虚拟 路 由 宛 余 协议 (Virtual Router Redundancy Protocol,VRRP) ,而 是 
使 用 览 设 备 的 链 路 聚合 。 

(3) 提高 了 网 络 资源 利用 率 。 

通过 分 布 式 跨 设备 链 路 聚合 技术 ,使 多 条 上 行 链 路 可 以 分 担负 载 和 互 为 备份 。 

(4) 提高 了 网 络 系统 可 靠 性 。 

堆 登 系统 中 的 物理 设备 通过 协议 互 为 备份 , 当 一 个 成 员 物 理 设备 发 生 故 隐 时 ,业务 可 
以 快速 恢复 ,从 而 有 效 减 少 网络 故 障 审 来 的 损失 。 

横向 堆 县 技术 的 主要 代表 有 H3C 公司 的 IRF 2.0 技术 、Cisco 公司 的 VSS 技术 、 华 
为 公司 的 CSS 技术 、Juniper 公司 的 Virtual Chassis 技术 等 。 


2. N : 1 虚拟 化 纵向 堆 径 技术 

与 横向 堆 释 技术 相 比 ,纵向 堆 秋 技术 不 是 对 相同 角色 的 设备 进行 堆 痉 ,而 是 对 在 逻辑 
上 不 同位 置 的 设备 进行 堆 攻 ,例如 对 核心 层 的 设备 和 接 入 层 的 设备 进行 堆 匡 等 ,从 而 在 纵 
向 上 形成 一 个 逻辑 设备 。 

纵 回 堆 全 技术 按照 设备 角色 可 以 分 为 控制 设备 和 纵 癌 扩展 设备 。 控 制 设备 也 称 控 
制 桥 (Controlling Bridge,CB) ,一 般 情 况 下 CB 相当 于 CPU ,集中 控制 和 管理 虚拟 设备 ， 
PE 在 逻辑 上 是 一 块 远 程 接口 板 ,也 被 称 为 病 口 扩展 需 (Port Extender,PE) ,相当 于 扩展 
IO 接口 ,在 堆 登 系统 中 由 CB 对 其 进行 集中 控制 管理 。 纵 回 扒 登 技 术 具 有 以 下 3 个 
优势 : 

(1) 多 级 可 徘 性 。 

第 一 级 使 服务 器 跨 PE 元 余 接 入 ,第 二 级 使 PE 能 够 跨 板 甚至 跨 框 聚合 接 入 CB, 从 而 
实现 了 网 络 见 余 的 多 级 可 徘 性 。 

(2) 可 扩展 性 。 

纵向 堆 和 技术 的 可 扩展 性 体现 在 两 个 方面 ,分 别 是 CB 可 扩展 性 和 PE 可 扩展 性 。 其 
中 CB 可 扩展 性 指 CB 通过 横向 堆叠 的 方式 扩展 ,PE 可 扩展 性 指 PE 可 以 根据 需要 接 人 
纵 回 堆 登 系统 ,从 而 可 以 使 用 不 同 设备 的 组 合 进行 网 络 设备 的 扩容 。 

(3) 保护 用 户 投 资 。 

PE 设备 支持 的 交换 模式 是 标准 交换 模式 和 纵 问 堆 茎 PE 模式 ,可 通过 命令 行 或 者 网 
管 程序 进行 切换 。 其 中 纵向 堆 秋 PE 模式 支持 即 插 即 用 。 用 户 可 根据 自身 网 络 系统 建 设 
的 需要 选择 交换 模式 ,从 而 有 效 地 保护 用 户 投 资 。 

纵向 堆 径 技术 主要 有 H3C 公司 私有 的 IRF 3.0,Cisco 公司 私有 的 FEX 等。 公有 技 
术 有 IEEE 802.1BR, 通 过 使 用 PE 形成 一 个 端口 数 日 较 大 的 网 络 设备 。 
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3.1:N 虚拟 化 

1 : N 虚拟 化 技术 将 一 台 物 理 设备 虚拟 为 多 台独 立 的 逻辑 设备 ,并 有 旦 各 逻辑 设备 均 
独占 硬件 资源 。1 : N 虚拟 化 技术 具有 以 下 3 个 优势 ， 

(1) 管理 平面 隅 离 。 

在 管理 平面 ,每 一 个 逻辑 设备 为 一 个 独立 设备 ,并 具有 单独 的 配置 文件 ,能 够 独立 进 
行 逻辑 设备 的 重启 和 加 载 配 置 。 对 于 网 管 系统 ,通过 对 每 一 个 逻辑 设备 进行 标记 ,从 而 实 
现 各 逻辑 设备 网 管 信息 的 处 理 。 对 于 用 户 , 可 通过 专 有 命令 直接 登录 逻辑 设备 进行 配置 
以 及 使 用 各 种 管理 功能 

(2) 数据 平面 隔离 。 

每 个 逻辑 设备 数据 平面 独立 ,使 用 支撑 自重 系统 运行 的 硬件 和 软件 资源 ,包括 独立 的 
接口 .CPU 等 。 

(3) 故障 隔离 。 

所 有 逻辑 设备 都 有 独立 的 进程 和 独立 的 网 络 转发 数据 ,因此 ,通过 合理 的 资源 分 配 ， 
可 以 有 独立 的 转发 芯片 资源 和 CPU 资源。 一旦 某 一 逻辑 设备 发 生 故 障 , 可 以 将 故障 控 
tt 而 不 影响 其 他 的 多 辑 设备 ， 从 而 实现 故障 隔离 。 

: N 虚拟 化 技术 主要 有 H3C 公司 的 MDC 技术 Cisco 公司 的 VDC 技术 等 。 


4.3.2 ”虚拟 设备 的 挑战 


在 云 计算 环境 中 ,由 于 物理 设备 无 法 插入 ,所 以 除了 使 用 云 服务 提供 商 提供 的 设备 次 
源 之 外 ,如 果 仍然 需要 增加 设备 ,就 必须 使 用 虚拟 设备 来 蔡 代 , 这 也 给 云 计 算 的 发 展 带 来 
了 安全 挑战 ， 

(1) 虚拟 设备 可 能 占用 大 量 的 资源 ,并 且 有 可 能 通过 增加 成 本 来 满足 所 需 的 网 络 性 


(2) 虚拟 设备 在 使 用 过 程 中 应 该 支持 自动 缩放 以 匹配 它们 所 保护 的 资源 弹性 。 如 果 
云 服 务 提 供 商 无 法 根据 产品 类 型 提供 与 月 动 缩放 相 兼 容 的 弹性 许可 证 支持 ,就 可 能 导致 
一 系列 的 安全 问题 。 

(3) 虚拟 设备 需要 考虑 到 在 云 中 的 操作 以 及 实例 在 不 同 地 理 区 域 和 可 用 区 域 之 间 的 
移动 能 力 。 由 于 云 网 络 的 变化 速度 快 于 物理 网 络 ,因此 需要 设计 特定 的 工具 来 有 效 地 处 

(4) ) 在 云 计算 环境 下 ， 为 了 提高 弹性 , 云 应 用 程序 组 件 趋向 于 分 布 式 。 同 时 由 于 虚拟 
设备 的 目 动 缩放 能 力 ,虚拟 服务 融 使 用 寿命 更 短 .数量 更 多 。 针 对 这 一 改变 就 要 设计 相应 
的 安全 策略 ,一 方面 安全 工具 必须 能 够 管理 更 高 的 虚拟 设备 变化 率 ,万 一 方面 安全 工具 还 
需要 考虑 到 云 中 的 IP 地 址 改变 速度 将 明显 快 于 传统 网 络 。 云 资产 不 太 可 能 使 用 静态 IP 
地 址 ,人 不同 云 的 云 资 产 = 可 以 在 短 时 间 内 共享 相同 的 IP 地 址 。 必 须 修 改 告 辣 和 事件 啊 应 生 
命 周期 ,以 确保 告警 在 这 种 动态 环境 中 是 可 操作 的 。 单 个 应 用 程序 层 中 的 资产 第 党 位 于 
多 个 子 网 上 以 提高 弹性 ,从 而 使 基于 IP 的 安全 策略 更 加 复杂 。 
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4 4 本 章 小 结 


基础 设施 安全 是 云 安 全 的 基础 ,只 有 在 基础 设施 层面 保障 云 计算 资源 的 安全 ,才能 ， 
上 层 应 用 的 可 徘 运 行 提供 研 层 保障 。 本 草 自 先 介 绍 了 云 计算 基础 设施 的 基本 概念 ,从 而 
引出 了 基础 设施 安全 在 云 计 算 中 的 重要 性 ;其 次 阐述 了 基础 设施 在 物理 层面 的 安全 威胁 
以 及 防护 措施 ,包括 日 然 因 系 、 运 行 威胁 和 人 为 风险 这 3 个 方面 ;最 后 介绍 了 基础 设备 虚 
拟 化 安全 的 基本 概念 以 及 虚拟 化 设备 所 面临 的 挑战 。 

本 章 在 介绍 基础 设备 虚拟 化 安全 时 侧重 介绍 了 网 络 设备 虚拟 化 技术 ,包括 设备 虚拟 
化 特点 、 虚 拟 化 对 象 以 及 常见 设备 虚拟 化 技术 。 常 见 网 络 设备 虚拟 化 技术 分 别 是 N :1] 
虚拟 化 模 回 堆 全 技术 、N : 1 虚拟 化 纵向 堆 芭 技术 和 1 :NN 虚拟 化 ,并 分 析 了 虚拟 设备 市 
来 的 安全 挑战 以 及 应 对 措施 。 


45 思考 题 


(1 ) 基 础 设施 在 物理 层面 所 面临 的 安全 问题 可 以 分 为 哪 3 类 ? 

(2) 基础 设施 所 面临 的 运行 威胁 包括 哪 两 个 方面 ?分别 曾 述 应 对 措施 。 

(3) 网 络 设备 虚拟 化 技术 可 分 为 哪 3 类 ? 分 别 进行 阐述 。 

(4) 纵 同 堆 释 技术 具有 了 哪 3 个 优势 ? 给 出 3 个 具有 代表 性 的 纵向 堆 秋 技术 。 
(5) 人 简 述 虚 拟 设 备 市 来 的 4 个 安全 挑战 。 
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第 5 音 
Hypervisor 安全 


5 1 Hypervisor 安全 概述 


Hypervisor 又 称 虚 拟 机 监视 需 (Virtual Machine Monitor,VMM) ,是 虚拟 化 的 重要 
组 成 部 分 。Hypervisor 是 运行 在 基础 物理 服务 疮 和 操作 系统 之 间 的 中 间 软 件 展 , 文 持 多 
个 操作 系统 和 应 用 共 盏 一 套 基 础 物理 便 件 。Hypervisor 可 以 看 作 虚 拟 环 境 中 的 元 
(meta) 操 作 系 统 ,能 够 协调 对 服务 右上 的 所 有 物理 设备 和 虚拟 机 的 访问 ,并 且 可 以 非 中 
断 地 文 持 多 工作 负载 迁移 。Hypervisor 提供 虚拟 机 之 间 的 隅 离 扩 术 ,从 而 使 得 这 些 虚 拟 
机 可 以 彼此 独立 运行 ,而 且 可 以 运行 不 同 的 操作 系统 。Hypervisor 还 提供 多 租户 的 功 
能 ,从 而 简化 了 虚拟 机 的 创建 和 管理 。 

第 用 的 人 硬件 虚拟 化 架构 如 图 5-1 所 示 。 在 此 架构 中 ,Hypervisor 的 作用 是 提供 平台 
虚拟 化 。 其 中 ,平台 虚拟 化 是 通过 东 种 方式 隐 蕊 抵 层 物理 便 件 的 过 程 ,从 而 让 多 个 操作 系 
统 可 以 透明 地 使 用 和 共 孚 它 。 


虚拟 机 
(虚拟 硬件 用 户 ) 


在 ] 缠 2 


客 己 操作 系统 客户 操作 系统 客户 操作 系统 3 
pd 


硬件 平台 物理 硬件 


图 5-1 常用 硬件 虚拟 化 架构 


Hypervisor 的 构成 如 图 5-2 所 示 。 可 以 看 出 ,Hypervisor 需要 一 些 用 于 局 动 客 户 操 
作 系 统 的 设施 ,包括 需要 驱动 的 内 核 映 射 配置 (例如 IP 地 址 和 所 需 的 内 存 容量 ) 磁盘 以 
及 网 络 设 备 , 还 需要 一 组 用 于 省 理 客 户 操 作 系 统 的 工具 。 其 中 ,磁盘 和 网 络 设备 通 向 映射 
到 计算 机 需 的 物理 磁盘 和 网 络 设备 。 
划一 组 用 于 管理 客户 操作 系统 的 工具 ,从 而 使 客户 操作 系统 可 以 和 和 窒 
主 操 作 系 统 同 时 运行 。 实 现 这 个 功能 需要 一 些 特定 的 要 素 , 如 图 5-3 所 示 。 这 些 要 素 包 
括 : 将 用 户 应 用 程序 和 内 核 图 数 连接 起 来 的 系统 调用 , 通 背 一 个 可 用 的 虚拟 化 调用 层 能 
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图 5-3 ”Hypervisor 的 要 素 
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够 允许 客户 操作 系统 回 箱 主 操作 系统 发 出 请 求 ,例如 Hypercall, 即 Hypervisor 对 操作 系 
统 进行 的 系统 调用 ;可 以 在 内 核 中 虚拟 化 I/O, 或 通过 客户 操作 系统 的 代码 支持 它 。 
Hypercall 的 添加 是 与 内 核 相 关 的 ,所 以 必须 修改 内 核 代码 ;故障 必须 由 Hypervisor 来 处 
理 ,或 将 虚拟 设备 故障 发 送 给 客户 操作 系统 ;Hypervisor 必须 处 理 在 客户 操作 系统 内 部 
发 生 的 异常 。 页 上 映射 器 是 Hypervisor 的 核心 要 素 之 一 , 它 将 人 硬件 指 问 特定 操作 系统 ( 客 
户 或 Hypervisor) 的 页; 通过 一 个 高 级 别 的 调度 带 在 Hypervisor 和 客户 操作 系统 之 间 进 
行 传 输 控 制 。 

根据 运行 位 置 的 不 同 , 可 以 将 Hypervisor 分 成 两 类 : 第 一 类 是 裸 机 型 ,直接 运行 在 
物理 硬件 上 ,例如 基于 内 核 的 虚拟 机 (Kernel-based Virtual Machine,KVM) ;第 二 类 是 主 
机 托管 型 ,运行 在 具有 虚拟 化 功能 的 操作 系统 上 ,例如 QEMU 和 WINE。 

Hypervisor 不 仅 协 调 硬件 资源 的 访问 ,而且 在 各 个 虚拟 机 之 间 施 加 防护 。 当 服务 顺 
司 动 并 执行 Hypervisor 时 , 它 会 加 载 所 有 虚拟 机 客户 站 的 操作 系统 ,同时 会 分 配给 每 一 
台 虚 拟 机 适量 的 内 存 .CPU 网络 和 磁盘 资源 。Hypervisor 的 安全 性 至 关 重 要 ,因此 大 部 
分 针对 虚拟 化 的 安全 人 研究 都 是 以 Hypervisor 可 信和 为 前 提 的 。 但 是 , Hypervisor 并 非 完 全 
可 信和 ,由 于 其 本 映 的 代码 量 巨 大 ,功能 结构 复 琳 ,因此 存在 着 许 多 已 知 和 未 知 的 安全 汤 洞 。 

目前 已 发 现 CNware、FusionSphere、CAS 等 主流 的 虚拟 化 软件 都 有 十 多 种 安全 汤 
洞 。 男 外 ,针对 Hypervisor 的 恶意 攻击 也 层出不穷 ,例如 虚拟 机 跳跃 .虚拟 机 移植 攻击 、 
虚拟 机 逃逸 等 。Hypervisor 上 承载 者 大 量 的 虚拟 机 ,一 旦 被 攻 隐 , 则 会 使 得 所 有 受 
Hypervisor 管辖 的 虚拟 机 都 可 能 遭受 非 授权 访问 ,严重 危害 Hypervisor 本 映 以 及 各 租户 
的 安全 。 因 此 ,保障 Hypervisor 的 安全 是 增强 虚拟 化 平台 安全 性 的 重要 内 容 。 


5 2 Hypervisor 安全 保障 


维护 Hypervisor 安全 是 每 个 数据 中 心 的 首要 任务 。 因 为 一 台 单 主机 服务 套 可 能 要 
处 理 儿 二 个 虚拟 化 的 工作 负载 。 单 主机 上 的 安全 漏洞 可 能 导致 断 电 。 不 华 的 是 ,目前 还 
没有 一 个 独立 的 ,综合 的 安全 解决 方案 可 以 确保 数据 中 心 的 安全 。 因 此 ,要 保证 
Hypervisor 的 高 安全 性 ,需要 从 多 方面 考虑 。 针 对 Hypervisor 的 安全 保障 主要 分 为 两 个 
方面 ,包括 Hypervisor 目 身 安全 性 的 提高 以 及 Hypervisor 防护 能 力 的 提高 。 接 下 来 将 
对 这 两 个 方面 进行 详细 介绍 。 

5.2.1 Hypervisor 安全 性 

为 提高 Hypervisor 的 安全 性 和 可 信 性 ,在 Hypervisor 上 月 身 的 安全 保障 方面 ,应 该 建 
立 轻 量 级 Hypervisor, 并 采用 可 信 计 算 技 术 中 的 完整 性 度量 里 和 完整 性 验证 对 Hypervisor 
进行 完整 性 保护 。 当 然 , 这 两 个 方面 在 技术 实现 上 都 存在 着 一 定 的 难度 ,在 大 规模 的 虚拟 
化 部 署 和 防护 中 不 太 适 用 。 下 面 对 这 两 方面 进行 介绍 。 

1. 建立 轻 量 级 Hypervisor 

随 厦 Hypervisor 功能 的 增加 ,其 本 映 的 代码 量 越 来 越 大 ,结构 越 来 越 复 杂 ,体积 也 越 
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来 越 大 ,这 些 都 降低 了 Hypervisor 的 可 信 性 。 而 作为 虚拟 化 体系 中 上 层 虚 拟 机 应 用 程序 
重要 组 成 部 分 的 可 信 计 算 基 (CTrusted Computing Base,TCB) ,如 果 Hypervisor 的 可 信人 性 
无 法 得 到 保证 ,那么 应 用 程序 运行 环境 的 安全 性 将 无 法 得 到 保证 。 为 了 解决 这 个 问题 , 近 
年 来 虚拟 化 研究 领域 的 专家 学 者 致力 于 轻 量 级 Hypervisor 的 构建 ,并 取得 了 许多 研究 成 
果 。 构 建 轻 量 级 的 Hypervisor, 主 要 是 通过 减 小 可 信 计 算 基 来 实现 ,这 种 方法 信和 鉴 了 微 
内 核 的 思想 ,在 最 小 程度 上 控制 了 Hypervisor 的 攻击 面 。TCB 指 的 是 构成 通用 安全 计 
算 机 系统 所 有 安全 保护 装置 的 组 合体 。TCB 也 叫 作 安全 子 系统 , 它 包 含 了 操作 系统 的 安 
全 内 核 `, 处理 敏 感 信 息 的 程序 .实施 安全 策略 的 软件 和 硬件 .具有 特权 的 程序 和 命令 、 人 负责 
系统 管理 的 人 员 等 ,其 日 映 具 有 融 度 的 可 徘 性 ,可 以 为 整个 系统 提供 安全 保障 ,是 上 层 应 
用 程序 安全 运行 的 基础 性 保证 。 但 是 , 随 着 TCB 代码 量 越 来 越 大 ,功能 和 结构 越 来 越 复 
琳 ,其 存在 安全 汤 洞 的 可 能 性 也 就 越 来 越 大 ,这 样 它 目 号 的 可 徘 性 就 无 法 得 到 保障 ,因此 
要 尺 量 减 小 TCB。 由 此 可 见 ,设计 轻 量 级 Hypervisor 时 ,应 尽量 降低 实现 的 复 灯 上 度 , 使 其 
尽 可 能 简单 ,保证 其 只 实现 底层 硬件 抽象 接口 的 功能 ,这 样 才能 更 容易 保证 Hypervisor 
日 身 的 安全 性 和 可 信人 性 。 

要 构建 轻 量 级 Hypervisor, 可 以 采用 轻 量 的 虚拟 化 架构 ,为 具有 较 高 安全 需求 的 虚 
拟 机 应 用 提供 更 好 的 隔离 性 ,也 可 以 通过 简化 功能 来 解决 了 ypervisor 代码 量 巨 大 的 问 
题 , 男 外 ,还 应 该 提升 虚拟 机 中 1/O 操作 的 安全 性 。 目 前 ,构建 轻 量 级 Hypervisor 的 方法 
主要 是 : 构建 专用 Hypervisor, 或 者 将 Hypervisor 的 管理 功能 和 安全 功能 分 开 , 以 减 小 
Hypervisor 的 大 小 。 但 是 ,如 何在 功能 分 离开 后 仍 保持 Hypervisor 的 特性 和 功能 ,仍然 
是 专家 学 者 正在 进一步 研究 的 一 个 难点 。 


2. 保护 Hypervisor 的 完整 性 

Hypervisor 的 完整 性 保护 包括 完整 性 度量 和 完整 性 验证 这 两 个 部 分 。 其 中 ,完整 性 
度量 从 计算 机 系统 的 一 个 名 为 可 信 度 量 根 的 硬件 安全 芯片 开始 ,到 硬件 平台 ,再 到 操作 系 
统 , 最 后 到 应 用 ,在 程序 执行 之 前 ,由 前 一 个 程序 来 度量 该 级 程序 的 完整 性 ,并 将 度量 的 结 
果 通 过 可 信 平 台 模 块 (Trusted Platform Module, TPM) 提 供 的 扩展 操作 记录 到 TPM 的 
平台 配置 寄存 器 中 ,最终 构 建 一 条 可 信和 启动 的 信任 链 。 完 整 性 验证 是 对 完整 性 度量 报告 
进行 数字 签名 后 发 送 给 远程 验证 方 , 再 由 过 程 验 证 方 来 判断 该 Hypervisor 是 否 安 全 
可 行 。 

目前 ,对 Hypervisor 完整 性 保护 的 人 研究 有 很 多 ,比较 典型 的 成 果 有 : Hypervisor 提 
供 运 行 时 控制 流 完整 性 保证 ,阻止 恶意 软件 在 Hypervisor 运行 过 程 中 执行 的 了 ypersafe 
染 构 ,采用 独立 于 Hypervisor 的 软件 组 秘密 对 Hypervisor 进行 实时 完整 性 度量 的 
HyperSentry 染 构 ,基于 人 硬件 辅助 的 用 于 保证 Hypervisor 完整 性 的 探测 算 改 框架 
HyperCheck ,等 等 。 这 些 方法 目前 是 比较 流行 的 ,因为 它们 不 仅 部 署 容易 ,而 且 不 影 啊 
Hypervisor 的 任何 能 力 。 


5.2.2 Hypervisor 防御 方法 
为 保护 Hypervisor 的 安全 , 既 要 提高 Hypervisor 目 身 的 安全 性 ,又 要 增强 
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Hypervisor 的 防御 能 力 。 常 见 的 集中 防御 方法 包括 合理 分 配 主机 资源 ,扩大 Hypervisor 
的 安全 范围 至 远程 控制 台 ,安装 虚拟 防火 墙 以 及 限制 用 户 特权 等 ,下 面 对 这 几 种 防御 方法 
进行 介绍 。 


1. 合理 分 配 主 机 资源 

如 果 物 理 主 机 没有 采取 相应 的 措施 对 主机 资源 的 使 用 情况 进行 管理 ,那么 ,由 于 在 默 
认 条 件 下 ,所 有 虚拟 机 对 物理 主机 提供 的 资源 都 有 同样 的 使 用 权利 ,因此 可 能 会 有 恶意 攻 
击 者 利用 这 一 点 发 起 类 似 于 物理 服务 器 的 拒绝 服务 攻击 ,恶意 的 虚拟 机 会 占据 主机 的 有 
限 资源 ,从 而 导致 其 他 虚拟 机 因 资 源 荐 乏 而 朋 演 ,运行 在 这 些 虚 拟 机 上 的 服务 也 被 迫 中 
源 。 由 此 可 见 , 昌 ypervisor 应 该 采取 合理 的 措施 对 主机 资源 进行 分 配 和 控制 。 具 体 来 
说 ,可 以 采取 限制 .预约 等 机 制 ,让 重要 的 虚拟 机 能 够 优先 访问 主机 资源 。 另 外 ,还 可 以 划 
分 主机 资源 并 隅 离 成 不 同 的 资源 池 ,然后 将 其 上 的 虚拟 机 分 配 到 不 同 的 资源 池 中 ,并 规定 
每 台 虚 拟 机 只 能 使 用 其 在 资源 池 中 分 配 到 的 资源 ,这 梓 可 以 有 效 降 低 恶 意 虚 拟 机 占据 主 
机 所 有 资源 而 引起 虚拟 机 拒绝 服务 的 风险 。 


2. 扩大 Hypervisor 安全 沁 围 至 远程 控制 台 

虚拟 机 的 远程 控制 台 可 以 使 用 远程 访问 技术 来 司 用 、 禁 用 和 配置 虚拟 机 ,因此 ,一 旦 
虚拟 机 的 远程 控制 台 配 置 不 当 , 就 会 给 Hypervisor 囊 来 很 大 的 安全 隐患 。 例 如 ,虚拟 机 
的 远程 控制 台 往往 允许 多 人 同时 连接 ,如 果 一 个 具有 较 高 权限 的 用 户 先 登录 了 远程 控制 
台 ,随后 一 个 具有 较 低 权 限 的 用 户 也 登录 了 远程 控制 台 , 那 么 后 者 就 可 以 获得 第 一 个 用 户 
所 具备 的 较 高 权限 ,从 而 导致 越权 访问 。 男 外 ,用 户 可 以 在 本 地 计算 机 操作 系统 和 远程 虚 
拟 机 操作 系统 之 间 进 行内 容 的 复制 和 粘贴 ,这样 ,所 有 通过 远程 控制 台 连 接 到 虚拟 机 的 用 
户 都 可 以 使 用 可 贴 板 上 的 信息 ,从 而 造成 信息 汇 壤 。 

为 了 规避 上 述 风险 ,必须 将 Hypervisor 的 安全 范围 扩大 至 远程 控制 台 , 规 范 远程 控 
制 侣 的 使 用 ,增强 Hypervisor 的 安全 性 。 首 先 , 应 当 规 定 在 同一 时 刻 只 允许 一 个 用 户 访 
问 虚 拟 机 远程 控制 台 ,并 且 按 需 分 配 权 限 ,这 样 可 以 防止 多 用 户 登 录 造 成 具有 较 低 权限 的 
用 户 越 权 访问 其 他 用 户 的 敏感 信息 的 情况 。 其 次 ,应 该 禁止 连接 到 虚拟 机 的 远程 管理 控 
制 台 的 复制 和 粘贴 ,以 避免 信息 泄露 。 


3. 安装 虚拟 防火 墙 

虚拟 机 之 间 的 流量 在 同一 个 虚拟 交换 机 和 端口 组 上 传输 的 时 候 , 网 络 的 流量 不 会 经 
过 物理 网 络 , 只 在 物理 主机 内 部 的 虚拟 网 络 中 存在 ,而 物理 防火 墙 只 为 连接 到 物理 网 络 中 
的 服务 禹 和 设备 提供 服务 ,因此 这 些 网 络 流量 部 在 物理 防火 墙 的 保护 区 域 之 外 ,物理 防火 
墙 无 法 保证 这 些 流 量 的 安全 。 为 保护 Hypervisor 的 安全 ,需要 安装 虚拟 防火 墙 , 它 能 在 
虚拟 机 的 虚拟 网 卡 层 获 取 并 查看 网 络 流 量 , 因 此 能 够 监控 和 过 滤 虚 拟 机 之 间 的 流量 。 为 
确保 网 络 流量 的 安全 ,可 以 将 虚拟 防火 墙 与 物理 防火 墙 配 合 使 用 。 

4. 限制 用 户 特 权 

为 和 测 化 访问 授权 这 一 环 记 ,许多 Hypervisor 的 管理 人 员 往 往 会 直接 将 管理 员 的 权限 
分 配给 用 户 ,这 样 ,一 些 恶意 用 户 可 能 会 利用 管理 员 权 限 执 行 各 种 危险 操作 ,包括 先 取 数 
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据 更改 网 络 配置 .重新 配置 虚拟 机 、 更 改 用 户 权 限 等 ,从 而 严重 破坏 Hypervisor 的 安全 。 
为 应 对 这 些 安全 风险 ,必须 对 用 户 进 行 细 粒 度 的 权限 分 配 。 有 具体 来 说 ,应 该 在 最 初创 建 用 
户 角 色 的 时 候 先 不 给 该 角色 分 配 任何 权限 ,在 将 角色 分 配给 用 户 时 ,再 根据 用 户 的 需求 增 
加 相应 的 权限 ,这 样 可 以 保证 用 户 只 获取 其 申请 的 权限 ,从 而 避免 用 户 因 至 有 和 省 理 员 特 权 
而 给 Hypervisor 市 来 安全 隐患 。 


5 3 安全 宁 略 


Hypervisor 向 下 需要 对 基本 硬件 设施 进行 抽象 和 管理 ,向 上 则 需要 集中 管理 所 有 运 
行 在 其 上 的 虚拟 机 ,并 需要 负责 管理 这 些 虚拟 机 的 资源 分 配 .资源 访问 以 及 运行 维护 。 
此 ,Hypervisor 作为 虚拟 化 的 重要 组 成 部 分 ,提高 其 安全 性 ,能 够 为 运行 于 其 上 的 虚拟 机 
提供 有 效 的 安全 保障 ,进而 增强 虚拟 化 平台 的 安全 防护 能 力 。 下 面 介绍 虚拟 机 安全 监控 
机 制 和 虚拟 机 间 流 量 安全 防护 这 两 种 策略 。 


5.3.1 虚拟 机 安全 监控 机 制 


在 云 计算 环境 中 ,要 保证 虚拟 机 的 运行 安全 ,需要 部 署 有 效 的 监控 机 制 对 虚拟 机 的 运 
行 状态 进行 实时 观察 ,及 时 发 现 危害 虚拟 机 运行 安全 的 因素 并 迅速 作出 响应 。 然 而 ,虚拟 
化 平台 的 应 用 给 云 计算 带 来 了 不 小 的 安全 挑战 , 云 应 用 不 再 受 企 业内 部 防火 墙 和 入 侵 检 
测 系统 的 保护 ,传统 的 安全 监控 机 制 也 已 经 不 再 适用 , 亟 须 提出 针对 虚拟 机 的 安全 监控 
机 制 。 

近年 来 ,虚拟 化 研究 领域 的 专家 学 者 都 在 致力 于 虚拟 机 安全 监控 架构 的 研究 。 所 请 
虚拟 机 安全 监控 架构 , 指 的 是 安全 工具 为 适应 虚拟 计算 环境 而 采取 的 架构 模式 。 目 前 比 
较 流 行 的 虚拟 机 安全 监控 架构 主要 是 虚拟 机 自省 监控 框架 以 及 基于 虚拟 化 的 安全 主动 监 
控 框架 。 


1. 虚拟 机 自省 监控 框架 

虚拟 机 上 自省 是 从 虚拟 机 外 部 获取 客户 虚拟 机 操作 系统 内 部 状态 信息 的 技术 。 通 过 将 
安全 工具 放 在 单独 的 虚拟 机 中 来 实现 该 框架 ,并 利用 该 安全 工具 对 其 他 虚拟 机 进行 安全 
检测 ,该 框架 的 典型 代表 是 Livewire。 采 用 虚拟 机 日 省 监控 框架 的 安全 监控 系统 有 
Wizard 和 Xenacces。Wizard 是 一 个 基于 Xen 的 内 核 监 控 融 , 它 能 发 现 高 级 的 内 核 事 件 
以 及 低级 的 便 件 设备 事件 之 间 的 关系 ,具备 安全 .高效 截 获 应 用 级 和 操作 系统 级 行为 的 能 
力 。Xenacces 是 一 种 处 于 Xen 管理 域 中 的 虚拟 机 监控 库 , 它 的 实现 依赖 于 Xen 提供 的 
libxc 和 libblktap 库 。Xenacces 为 目标 虚拟 机 内 存 和 磁盘 的 查看 提供 高 级 接口 ,但 它 必 
须 在 操作 系统 内 核 完整 的 情况 下 才能 提供 安全 监控 功能 ,一 旦 有 恶意 攻击 者 算 改 了 操作 
系统 内 核 的 关键 数据 结构 , 则 会 致使 Xenacces 的 安全 监测 功能 失效 。 

2. 基于 虚拟 化 的 安全 主动 监控 框架 

该 框架 通过 安全 资源 池 的 虚拟 安全 能 力 或 者 在 租户 网 络 内 部 署 虚拟 安全 能 力 两 种 方 
式 提 供 安 全 服务 ,包括 系统 漏 扫 、 配 置 基线 核查 和 Web 漏洞 扫 朱 等 ,只 需 安全 能 力 与 扫 摘 
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对 象 网 络 可 达 , 即 可 扫描 租户 虚拟 机 的 配置 和 漏洞 情况 ,并 根据 扫描 结果 提供 相应 建议 。 
在 实现 时 ,将 安全 工具 部 署 到 一 个 处 在 安全 域 的 虚拟 机 中 ,并 利用 该 安全 工具 对 运行 在 目 
标 虚 拟 机 上 的 操作 系统 进行 安全 监测 。 

目前 ,虚拟 化 安全 监控 主要 可 以 分 为 内 部 监控 和 外 部 监控 两 种 。 内 部 监控 通过 在 虚 
拟 机 中 加 载 内 核 醒 块 来 对 虚拟 机 中 的 内 部 事件 进行 拦 蕉 。 所 谓 事 件 拦 规 , 指 的 是 拦 币 虚 
拟 机 中 发 生 的 某 个 事件 ,从 而 触发 安全 工具 对 其 进行 安全 检测 ,而 虚拟 机 中 内 核 模块 的 安 
全 则 需要 由 Hypervisor 来 保护 。 内 部 监控 的 则 型 系统 是 Lares 和 SIM。 外 部 监控 是 在 
虚拟 机 外 部 进行 安全 检测 , 它 指 的 是 在 Hypervisor 中 对 目标 虚拟 机 中 的 事件 进行 拦截 ， 
其 典型 系统 是 Livewire。 下 面 分 别 对 这 两 种 监控 方式 进行 介绍 。 


1. 内 部 监控 

内 部 监控 模型 如 图 5-4 所 示 。 在 基于 虚拟 化 的 内 部 监控 模型 中 ,安全 工具 部 署 在 一 
个 被 隔离 的 且 处 于 安全 域 的 虚拟 机 中 ,该 虚拟 机 所 处 的 环境 在 理论 上 被 认为 是 安全 的 。 
被 监控 的 客户 操作 系统 运行 在 目标 虚拟 机 中 ,该 目标 虚拟 机 中 会 部 普 一 个 用 于 拦 规 文件 
读 写 .进程 创建 等 事件 的 重要 工具 一 一 钧 子 图 数 , 其 典型 代表 是 lares 和 sim, 可 以 直接 截 
取 系 统 级 语义 。 这 些 钧 子 困 数 在 加 载 到 客户 操作 系统 中 时 ,会 通知 Hypervisor 它们 所 占 
据 的 内 存 空间 ,这 样 Hypervisor 中 的 内 存 保护 模块 就 可 以 根据 钩子 函数 所 告知 的 内 存 页 
面 对 其 进行 保护 ,从 而 为 存在 于 不 可 信 的 客户 操作 系统 中 的 钩子 函 数 提供 安全 保护 。 除 
了 了 内存 保护 模块 ,Hypervisor 中 还 有 一 个 跳 转 模块 , 它 的 作用 是 为 目标 虚拟 机 和 安全 域 
之 间 的 通信 挫 建 桥 染 。 钧 子 图 数 和 跳 转 模块 都 必须 是 简单 的 .上 月 包含 的 ,不 能 调用 内 核 的 
其 他 因数 ,这 样 内 存 保护 模块 才能 更 好 地 保护 它们 ,防止 它们 被 恶意 攻击 者 算 改 。 

安全 域 目标 虚拟 机 


Hypervisor 


图 5-4 内 部 监控 模型 


在 进行 一 次 事件 拦截 响应 的 过 程 中 ,内 部 监控 模型 中 的 钩子 函数 在 探测 到 目标 虚拟 
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机 中 发 生 了 某 个 事件 时 会 主动 陷入 Hypervisor 中 ,并 通过 其 中 的 跳 转 模块 将 目标 虚拟 机 
中 发 生 的 事件 传递 给 安全 域 中 的 安全 驱动 ,再 由 安全 驱动 将 事件 传递 给 安全 工具 ;之 后 ， 
安全 事件 会 根据 目标 虚拟 中 发 生 的 事件 执行 某 种 安全 策略 ,产生 啊 应 ,并 将 啊 应 传递 给 安 
全 驱动 ,进而 对 目标 虚拟 机 中 的 安全 事件 作出 啊 应 。 

由 上 面 的 内 容 可 以 看 到 ,内 部 监控 模型 可 以 在 虚拟 机 中 实现 事件 截获 ,因此 可 以 直接 
获取 操作 系统 级 语义 而 不 需要 进行 语义 重 构 , 从 而 减少 了 性 能 开销 。 语 义 重 构 指 的 是 由 
低级 的 二 进 制 语义 重 构 出 高 级 的 操作 系统 语义 。 另 外 ,该 模型 中 的 安全 工具 和 客户 操作 
系统 相互 隔离 ,可 以 增强 安全 工具 的 安全 性 。 但 与 此 同时 ,该 模型 需要 在 客户 操作 系统 中 
植 人 内 核 模 块 , 这 会 使 得 目标 虚拟 机 的 监控 缺乏 透明 性 。 另 外 ,该 模型 中 的 跳 转 模块 以 及 
内 存 保护 模块 都 不 具有 通用 性 ,需要 根据 目标 虚拟 机 来 进行 特殊 设计 ,这 会 限制 内 部 监控 
王 染 的 进一步 研究 和 使 用 .。 


2. 外 部 监控 

外 部 监控 模型 如 图 5-5 所 示 。 与 内 部 监控 模型 相同 的 是 ,外 部 监控 模型 中 的 安全 工 
具 和 客户 操作 系统 位 于 两 个 彼此 分 离 的 虚拟 机 中 ,而 不 同 点 在 于 外 部 监控 模型 在 
Hypervisor 中 部 普 了 监控 点 ,该 监控 点 不 仅 为 目标 虚拟 机 与 安全 域 中 的 安全 工具 建立 通 
信和 桥梁 ,还 可 以 用 于 拦截 目标 虚拟 机 中 发 生 的 安全 事件 ,并 能 重 构 出 高 级 语义 ,传递 给 安 
全 工具 。 其 中 ,语义 重 构 的 过 程 写 客户 操作 系统 的 版 本 和 类 型 密切 相关 ,主要 是 利用 茶 些 
内 存 地 址 或 寄存 带 对 内 核 中 的 关键 数据 结构 进行 解析 。 安 全 工具 会 根据 安全 策略 对 目标 
虚拟 机 中 的 事件 作出 啊 应 ,进而 通过 监控 点 来 控制 目标 虚拟 机 。 由 于 监控 点 部 普 在 处 于 
目标 虚拟 机 底层 的 Hypervisor 中 ,所 以 它 能 观测 到 目标 虚拟 机 的 CPU 信息 .内存 页 面 等 
状态 信息 ,从 而 协助 安全 工具 对 目标 虚拟 机 进行 较为 全 面 的 检测 。 

安全 域 目标 虚拟 机 
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图 5-5 外 部 监控 模型 


由 上 面 的 内 容 可 以 看 到 ,内 部 监控 和 外 部 监控 这 两 种 监控 方式 都 能 很 好 地 实现 对 虚 
拟 机 的 安全 监控 。 但 是 ,虚拟 机 监控 仍然 存在 看 一 些 不 足 的 地 方 需要 继续 改进 。 
首先 需要 改进 的 问题 是 缺乏 通用 性 ,目前 的 监控 系统 郡 是 针对 特定 类 型 的 客户 操作 
系统 来 实现 特定 的 安全 功能 ,而 在 云 计算 环境 下 ,单个 物理 证 点 上 往往 有 多 台 虚 拟 机 , 虚 
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拟 机 中 的 客户 操作 系统 又 种 类 繁多 ,因此 监控 工具 很 难 有 效 地 对 云 计算 环 境 下 各 种 不 同 
类 型 的 虚拟 机 进行 监控 。 要 满足 监控 的 通用 性 需求 ,构建 通用 的 安全 监控 机 制 十 分 必要 。 

其 次 ,虚拟 机 监控 与 传统 的 安全 工具 还 存在 看 融合 的 问题 。 在 虚拟 化 环境 下 ,利用 
Hypervisor 可 以 更 好 地 监控 虚拟 机 内 部 的 运行 状态 ,因此 , 现 有 的 工作 多 集中 在 通过 
Hypervisor 来 保护 目标 虚拟 机 中 的 多 子 图 数 或 者 从 目标 虚拟 机 外 部 查看 内 部 状态 ,然而 
传统 的 安全 工具 无 法 直接 使 用 Hypervisor 获取 的 包含 二 进 制 语义 的 信息 。 为 解决 虚拟 
监控 工具 和 传统 安全 工具 的 融合 问题 ,一 方面 应 该 利用 语义 恢复 来 实现 从 二 进 制 级 语义 
到 系统 级 语义 的 转变 ,并 且 为 安全 工具 提供 标准 的 调用 接口 。 态 一 方面 应 该 考虑 如 何在 
语义 的 全 面 性 和 语义 恢复 给 安全 工具 市 来 的 额外 性 能 开销 之 间 进 行 综合 权衡 ,从 而 让 安 
全 工具 发 挥 最 大 的 实用 价值 。 

5.3.2 ”虚拟 机 间 流 量 安全 防护 

在 虚拟 化 环境 下 ,同一 个 服务 器 上 不 同 虚 拟 机 之 间 的 流量 交换 是 通过 服务 器 内 部 的 
虚拟 变换 网 络 进行 的 ,里 然 这 些 虚 拟 机 可 能 处 于 同一 个 物理 无 线 局 域 网 (Wireless Local 
Area Network,WLAN) 下 ,但 流量 却 不 需要 经 过 外 部 交换 机 。 在 这 种 情况 下 ,虚拟 机 之 
间 的 流量 交换 是 不 可 视 的 ,虚拟 化 平台 的 管理 人 员 无 法 了 解 和 控制 虚拟 机 之 间 的 流量 交 
换 。 这 会 带 来 各 种 安全 隐患 ,例如 ,这 些 虚拟 机 之 间 的 二 层 流量 在 规则 允许 的 范围 内 是 否 
是 合法 访问 ,不 同 虚拟 机 间 交 换 的 流量 中 是 否 存 在 诸如 针对 应 用 层 安 全 汤 洞 的 网 络 攻 击 
行为 ,等 等 。 由 此 可 见 , 对 虚拟 机 间 流 量 进行 安全 防护 是 非常 重要 的 。 

通常 来 说 ,根据 流量 的 转发 路 径 可 以 将 用 户 的 流量 分 为 纵 回 流量 和 横向 流量 两 类 , 因 
此 可 以 从 纵 问 和 模 回 两 个 维度 采取 相应 的 措施 来 对 虚拟 机 间 的 流量 进行 安全 防护 。 


1. 纵向 流量 的 安全 防护 

纵 问 流量 包括 从 客户 闪 到 服务 顺 的 访问 请 求 流量 以 及 不 同 虚拟 机 间 三 层 转 发 的 流 
量 , 这 些 流量 的 交换 部 需要 经 过 外 置 的 硬件 安全 防护 屋 。 纵 癌 流 量 的 安全 防护 与 传统 数 
据 中 心 流 量 的 安全 防护 类 似 , 因 此 针对 纵向 流量 的 安全 防护 可 以 全 鉴 传 统 的 安全 防护 部 
普 方 式 , 将 具备 内 置 阻 断 安全 攻击 能 力 的 防火 增 和 入 侵 检 测 系统 劳 挂 在 汇聚 层 ,或 串 接 在 
核心 层 和 汇聚 层 之 间 ,利用 其 对 虚拟 化 环境 下 的 纵 回 流量 进行 检测 。 


2. 模 回 流量 的 安全 防护 
横向 流量 指 的 是 同一 台 服 务 器 上 不 同 虚 拟 机 之 间 交 换 的 流量 。 在 虚拟 化 环境 下 , 同 
一 侣 服务 硕 上 不 同 虚 拟 机 间 的 流量 百 接 在 服务 硕 内 部 进行 交换 ,而 不 需要 经 过 外 部 物理 
交换 机 , 且 其 交换 过 程 是 不 可 视 的 ,因此 外 层 网 络 的 安全 管理 人 员 无 法 通过 传统 的 安全 防 
护 与 检测 技术 对 虚拟 机 中 的 横 回 流量 进行 监控 和 安全 防护 , 横 回 流量 安全 成 为 虚拟 化 环 
境 下 的 一 个 新 间 题 。 
目前 许多 业内 专家 学 者 都 在 加 紧 人 研究 横 回 流量 的 安全 防护 措施 ,其 中 包括 在 虚拟 计 
算 平台 上 的 Hypervisor 层 集成 vSwitch 虚拟 交换 机 ,通过 该 交换 机 能 够 实现 一 些 基 本 的 
访问 控制 规则 ,但 是 由 于 不 能 集成 高 级 的 安全 防护 和 检测 工具 ,因而 无 法 实现 对 虚拟 机 之 
间 横 回流 量 的 安全 检测 。 目 前 针对 横 回 流量 的 安全 检测 技术 主要 是 基于 虚拟 机 的 安全 防 
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护 技 术 和 利用 边 绿 虚拟 桥接 (Edge Virtual Bridging,EVB) 等 技术 实现 的 流量 重 定 回 安 全 
防护 技术 ,下 面 对 它 们 进行 介绍 。 

1) 基于 虚拟 机 的 安全 防护 技术 

为 解决 外 部 防火 场 和 入 侵 检 测 系统 无 法 对 虚拟 机 之 间 交 换 的 流量 进行 安全 检测 的 问 
题 , 基 于 虚拟 机 的 安全 防护 拉 术 可 以 直接 在 服务 内 部 部 普 虚 拟 机 安全 软件 ,并 在 所 有 虚拟 
机 之 间 的 流量 交换 未 进入 虚拟 机 中 的 交换 机 前 ,利用 Hypervisor 开放 的 API 将 这 些 流 量 
引入 虚拟 机 安全 软件 中 进行 安全 检测 。 虚 拟 机 安全 软件 会 根据 需求 将 不 同 的 虚拟 机 划分 
到 不 同 的 安全 域 中 ,并 对 各 种 安全 域 间 的 隔离 和 访问 策略 进行 配置 。 为 检测 虚拟 机 间 相 
互 交 换 的 流量 中 是 否 存 在 类 似 于 应 用 层 安 全 漏洞 的 网 络 攻击 ,该 技术 还 可 以 通过 在 软件 
中 集成 了 入侵 防御 系统 (Intrusion Prevention System,1IPS) 的 深度 报 文 检测 技术 对 流量 
进行 检测 。 

应 用 基于 虚拟 机 的 安全 防护 技术 的 上 典型 例子 是 在 前 面 提 到 的 外 部 安全 监控 框 染 
Livewire, 它 是 一 个 基于 虚拟 机 的 入 侵 检 测 系 统 。 该 框架 将 人 侵 检 测 系 统 部 普 在 一 个 与 
被 检测 虚拟 机 相互 隔离 的 安全 虚拟 机 中 ,然后 利用 虚拟 机 的 日 省 机 制 ,通过 Hypervisor 
来 观察 目标 虚拟 机 的 内 部 状态 ,观察 的 内 容 还 包括 该 虚拟 机 与 其 他 虚拟 机 之 间 的 模 回 流 
量 。 当 检测 到 系统 中 发 生 的 事件 时 就 将 其 拦截。Hypervisor 会 通过 和 耳 接 访问 被 检测 系 
统 的 内 存 来 获取 该 系统 的 当前 状态 ,然后 利用 入 侵 检测 系统 的 操作 系统 接口 库 来 恢复 出 
操作 系统 级 的 语义 ,接着 再 通过 人 侵 检 测 模 块 对 发 生 的 事件 进行 安全 检测 。 

基于 虚拟 机 的 安全 防护 扩 术 的 一 个 优势 是 部 闭 简 单 , 只 要 在 服务 硕 上 专门 开放 出 资 
源 来 运行 一 个 隐 离 的 虚拟 机 ,并 在 该 虚拟 机 中 运行 虚拟 机 软件 就 可 以 了 。 但 从 男 一 个 角 
度 来 说 ,由 于 每 个 服务 器 都 需要 专门 分 配 一 定 的 资源 为 虚拟 机 提供 运行 环境 ,因此 一 旦 服 
务 器 的 流量 增 大 ,开启 的 IPS 深度 检测 的 功能 增多 , 则 其 对 系统 资源 的 占用 将 增 大 ,这 可 
能 会 影响 服务 器 的 性 能 ,服务 器 的 投资 也 可 能 会 随 之 增加 。 另 外 ,该 模型 需要 安全 软件 生 
产 商 在 Hypervisor 层 进行 代码 开发 ,因此 低 质量 的 开发 可 能 会 给 Hypervisor 带 来 潜在 
的 安全 漏洞 ,从 而 给 整个 系统 的 正常 运转 带 来 安全 风险 。 

2) 流量 重 定 问安 全 防护 技术 

流量 重 定 问安 全 防护 技术 利用 边 绿 虚拟 桥接 和 虚拟 以 太 网 端口 汇聚 磊 (Virtual 
Ethernet Port Aggregator，;VEPA) 等 技术 将 虚拟 机 的 内 部 流量 引入 外 部 交换 机 中 ,并 在 
外 部 交换 机 转发 这 些 流量 前 ,通过 镜像 或 重 定 问 等 技术 将 流量 引入 安全 设备 中 进行 安全 
检测 ,还 有 各 种 安全 策略 或 访问 策略 的 配置 。 边 缘 虚 拟 桥 接 技术 是 IEEE 针对 数据 中 心 
虚拟 化 制定 的 一 组 技术 标准 , 它 包 含 了 虚拟 化 服务 需 与 网 络 间 数据 互通 的 格式 与 转发 要 
求 以 及 针对 虚拟 机 和 虚拟 IO 通道 对 接 网 络 的 一 组 控制 管理 协议 。 该 技术 主要 有 两 个 
作用 ,一 个 是 解决 计算 资源 调度 与 网 络 上 月 动 化 感知 之 间 无 法 连接 的 问题 , 另 一 个 是 解决 服 
务 般 虚拟 化 后 计算 资源 与 网 络 资源 之 间 产 生 的 管理 边界 模糊 问题 。 虚 拟 以 太 网 闪 口 汇聚 
希拉 术 的 功能 是 将 服务 希 上 的 虚拟 机 生成 的 所 有 流量 转移 到 外 部 的 网 络 交 换 机 上 。 

流量 重 定 问安 全 防护 技术 的 一 个 特点 是 将 硬件 设备 外 置 , 它 可 以 在 不 影响 服务 釉 的 
业务 部 普 且 不 占用 服务 右 资 源 的 情况 下 利用 数目 较 少 的 蜗 问 安全 设备 来 实现 万 兆 级 其 至 
是 十 万 兆 级 的 安全 检测 ,而 这 些 外 置 的 安全 设备 可 以 由 管理 员 利 用 其 丰富 的 传统 信息 系 
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统 维护 经 验 来 管理 和 维护 。 另 外 ,该 拉 术 采用 外 挂 式 设备 部 署 方式 ,使 安全 设备 避 开 服务 
伪 虚 拟 机 本 号 的 安全 风险 。 
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Hypervisor 作为 虚拟 化 的 重要 组 成 部 分 ,其 安全 状态 在 虚拟 化 平台 的 安全 防护 中 起 
着 至 关 重 要 的 作用 。 本 章 首 先 介绍 了 Hypervisor 的 基本 概念 、 主 要 构成 以 及 两 大 分 类 ， 
进而 引出 虚拟 化 环境 下 Hypervisor 所 面临 的 安全 问题 以 及 安全 保障 的 必要 性 。 针 对 
Hypervisor 的 安全 保障 提出 了 了 两 方面 要 求 : 一 方面 是 提高 上 日 身 安 全 性 ,并 从 建立 轻 量 级 
的 Hypervisor 以 及 对 Hypervisor 进行 完整 性 保护 人 手 进 行 详细 分 析 ; 另 一 方面 是 提高 
Hypervisor 的 防护 能 力 , 并 介绍 了 4 种 防御 方法 ,分 别 为 合理 分 配 主机 资源 、 扩 大 
Hypervisor 安全 范围 至 远程 控制 台 , 安 疲 虚 拟 防火 填 以 及 限制 用 户 特权 。 最 后 ,本 章 还 
针对 虚拟 机 安全 介绍 了 两 种 策略 ,分 别 为 虚拟 机 安全 监控 机 制 和 虚拟 机 间 流 量 安全 防护 。 

通过 本 章 的 学 习 , 可 以 了 解 到 Hypervisor 在 虚拟 化 架构 中 的 主要 功能 ,进而 认识 到 
Hypervisor 安全 的 重要 性 ,掌握 保障 其 安全 性 的 具体 实施 方法 ,并 通过 具体 的 解决 方案 
理解 Hypervisor 在 安全 策略 中 的 作用 。 


(1) 简 述 Hypervisor 的 概念 以 及 基本 功能 。 

(2) 根据 运行 位 置 的 不 同 可 将 Hypervisor 分 为 哪 几 类 ?分 别 举 一 个 例子 。 
(3) 为 实现 客户 操作 系统 和 牡 主 操作 系统 同时 运行 ,需要 哪些 特定 要 素 ? 
(3) 提高 Hypervisor 目 号 安全 性 的 方法 有 哪 两 种 ?请 分 别 曾 述 。 

(4) 增强 Hypervisor 防御 能 力 的 方法 有 哪 4 种 ? 请 分 别 曾 述 。 
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近 几 年 , 云 计算 扩 术 以 其 强 计 算 力 海量 存储 . 按 需 付费 .弹性 收缩 等 独特 优势 而 得 到 
越 来 越 广泛 的 应 用 ,而 实现 这 些 特 征 的 基石 正 是 虚拟 化 技术 。 虚 拟 化 技术 是 云 计 算 的 核 
心 技术 之 一 ,人 它 能 让 云 计算 实现 对 竣 源 的 动态 分 配 、 按 需 计 算 以 及 对 软 人 硬件 资源 的 迎 辑 抽 
象 .隔离 管理 等 。 虚 拟 化 技术 将 物理 质 源 转变 为 逻辑 上 可 以 管理 的 货源 , 云 服 务 提 供 商 利 
用 虚拟 化 技术 将 各 种 硬件 质 源 虚拟 化 成 大 规模 的 动态 货源 池 ,并 通过 该 质 源 池 动 态 且 投 
需 分 配 地 回 用 户 提供 计算 质 源 。 

随 看 虚拟 化 技术 的 广泛 应 用 ,也 骏 圳 出 了 越 来 越 多 的 安全 问题 ,虚拟 化 这 种 新 技术 所 
市 来 的 安全 问题 是 传统 计算 模式 不 会 出 现 的 。 当 前 ,虚拟 化 环境 面临 肴 虚拟 机 曼 延 .状态 
恢复 .运行 威胁 .特殊 配 置 等 多 种 安全 隐患 ,同时 还 面临 看 虚拟 机 逃逸 .虚拟 机 跳跃 .拒绝 
服务 等 许多 安全 攻击 。 由 此 可 见 , 为 应 对 虚拟 化 安全 的 各 种 挑战 ,虚拟 化 安全 建设 非常 重 
要 ,只 有 采取 有 效 的 安全 防护 措施 ,才能 避免 这 些 安全 隐患 和 安全 攻击 给 虚拟 化 技术 的 使 
用 者 市 来 巨大 的 损失 。 


6.1 虚拟 化 技术 概述 


6.1.1 虚拟 化 概述 

虚拟 化 技术 具有 悠久 的 历史 。 早 在 20 世纪 50 年 代 就 有 科学 家 提出 了 虚拟 化 的 概 
念 。 到 了 20 世纪 60 年 代 ,为 提高 硬件 利用 率 而 对 大 型 机 硬件 资源 进行 分 区 则 是 虚拟 化 
最 早 的 实现 。 从 操作 系统 的 虚拟 内 存 到 Java 语言 虚拟 机 ,再 到 x86 体系 结构 的 服务 器 虚 
拟 化 技术 ,虚拟 化 技术 经 过 半 个 多 世纪 的 发 展 已 经 日 益 成 熟 。 

对 于 虚拟 化 ,业界 很 多 标准 组 织 都 对 其 进行 了 定义 。 例 如 ,在 开放 网 络 服务 体系 结构 
的 术语 表 中 ,虚拟 化 被 定义 为 “对 一 组 类 似 资源 提供 一 个 通用 的 方式 来 查看 并 维护 资源 ”; 
维基 百科 对 它 的 定义 是 :“ 在 计算 机 技术 中 ,虚拟 化 是 将 计算 机 物理 资源 ,如 服务 器 、 网 
络 .内 存 及 存储 等 ,了 予以 抽象 .转换 后 呈现 出 来 ,使 用 户 可 以 以 比 原本 的 组 态 更 好 的 方式 来 
使 用 这 些 资源 。 这 些 资源 的 新 虚拟 部 分 是 不 受 现 有 资源 的 假设 方式 .地 域 或 物理 组 态 所 
限制 的 。 一 般 所 指 的 虚拟 化 资源 包括 计算 能 力 和 资料 存储 ”; WhatIs.com 信息 技术 术语 


计算 机 系统 、 存 储 设备 和 网 络 资源 等 ” 
通过 上 述 对 虚拟 化 不 同 的 定义 ,可 以 总 结 出 : 虚拟 化 其 实 是 一 种 资源 抽象 化 的 软件 
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技术 ,这 些 资 源 履 亩 范围 广 , 既 可 以 是 人 存储、 网络.CPU 内 存 等 各 种 便 件 资源 ,也 可 以 是 
操作 系统 .应 用 程序 .文件 系统 等 各 种 软件 环境 。 虚拟 化 将 原本 运行 在 真实 环境 中 的 计算 
机 系统 或 组 件 运行 在 虚拟 环境 中 。 一 般 而 言 ,计算 机 系统 从 下 至 上 可 以 分 为 便 件 资源 层 、 
操作 系统 层 ,框架 库 层 以 及 应 用 程序 屋 。 事 实 上 ,这 些 层 之 间 具 有 一 定 的 依赖 关系 ,服务 
依 乱 应 用 程序 提供 给 用 户 ， 软件 依靠 框架 库 才能 运行 ， 框架 库 和 软件 依 徘 操作 系统 提供 给 
用 户 。 虚 拟 化 技术 可 以 在 这 些 不 同 层 次 之 间 构 建 虚拟 化 层 , 即 向 上 提供 与 夏 实 层次 相同 
或 类 似 的 功能 ,撤销 上 一 层 对 下 一 层 的 依赖 ,使 得 上 层 系 统 可 以 运行 在 该 中 间 层 之 上 ,有 即 
上 层 的 运行 不 依赖 于 下 层 的 具体 实现 ,解除 了 上 下 层 之 则 原本 存在 的 厢 合 关系 。 虚 拟 化 
技术 以 其 对 资源 的 灵活 、 高 效 利 用 而 被 广泛 应 用 , 云 计算 技术 的 发 展 和 进步 更 是 离 不 开 
它 ,虚拟 化 技术 成 为 云 计算 发 展 的 核心 原动力 之 一 。 

虚拟 化 的 基本 思想 是 分 离 软 便 件 资源 , 它 的 主要 目标 是 对 包括 系统 .基础 设施 以 及 软 
件 等 在 内 的 各 种 IT 资源 的 表示 ,访问 和 管理 进行 简化 ,将 它们 抽象 成 逻辑 资源 ,并 为 这 
些 逻 辑 资 源 提供 标准 的 接口 来 接收 输入 和 提供 输出 ,从 而 隐藏 资源 属性 和 有 具体 操作 之 间 
的 差异 。 

虚拟 化 技术 降低 了 资源 使 用 者 和 资源 具体 实现 之 则 的 条 合 度 , 让 用 户 不 用 再 依赖 资 
源 的 某 种 特定 实现 ,也 可 以 将 IT 基础 设施 发 生变 化 时 对 用 户 的 影响 降 到 最 低 , 从 而 有 利 
于 降低 系统 管理 员 对 IT 资源 进行 升级 和 维护 时 对 用 户 造 成 的 影响 。 

如 今 ,操作 系统 的 虚拟 内 存 是 计算 机 业内 认 知 度 比 较 广 泛 的 虚拟 化 技术 。 下 面 结合 
实际 的 例子 进一步 介绍 虚拟 化 技术 。 

虚拟 内 存 指 的 是 在 磁盘 存储 空间 中 划分 一 部 分 作为 内 存 的 中 转 空间 ,该 空间 负责 存 
储 内 存 中 存放 不 下 且 和 暂时 不 用 的 数据 ,一 旦 用 户 要 用 到 这 些 数 据 ,该 空 间 就 会 将 这 些 数据 
从 位 盘 换 入 内 存 。 虚 拟 化 内 存 拉 术 对 的 层 资 源 进行 抽象 ,屏蔽 了 用 户 所 宕 内 存 空间 的 存 
储 位 置 和 访问 方式 等 实现 细 方 ,并 同上 提供 透明 的 服务 ,因此 用 户 看 到 的 是 统一 的 地 址 空 
间 ,他 们 可 以 用 一 致 的 分 配 和 访问 等 指令 来 对 虚拟 内 存 进 行 操 作 , 就 跟 访 问 物 理 内 存 一 
样 。 在 这 个 例子 中 ,内存 是 真实 的 资源 ,而 磁盘 中 被 划分 出 来 作为 中 转 空间 的 部 分 则 是 内 
存 的 蔡 代 品 ; 但 经 过 虚拟 化 后 ,这 两 者 都 有 相同 的 逻辑 表示 ,虚拟 化 层 辐 上 隐 羧 了 磁盘 上 
进行 的 内 存 交 换文 件 谈 写 以 及 内 存 与 磁盘 间 的 统一 寻 址 和 换 和 人 换 出 等 细节。 

通 和 ,虚拟 化 架构 主要 由 主机 、 虚 拟 化 层 软 件 以 及 虚拟 机 3 部 分 组 成 。 

主机 指 的 是 CPU、 内 存 、1/O 设备 等 便 件 资源 的 物理 设备 。 

虚拟 化 层 软 件 是 虚拟 基础 设施 的 中 枢 神 经 系统 , 它 直 接 部 署 在 便 件 资源 上 ,管理 主机 
的 底层 硬件 资源 ， 处 理 所 有 由 用 户 启动 的 操作 系统 和 应 用 程序 对 CPU、 内 存 、.1/O、 人 硬盘 资 
源 的 请 求 ,被 称 为 Hypervisor 或 虚拟 机 监视 融 。 虚 拟 化 层 软 件 负 责 用 户 虚 拟 机 的 创建 、 
销毁 和 迁移 等 操作 ,并 负责 将 一 hit 
的 虚拟 机 ,同时 要 负 员 协调 各 个 虚拟 机 对 这 些 资 源 的 访问 以 及 各 虚拟 机 的 防护 泄 理 。 当 
用 户 请 求 访问 虚拟 资源 时 ,虚拟 化 层 软 件 会 对 这 些 请 求 进行 人 处理, 在 对 相应 的 信息 指令 进 
行 模拟 后 对 底层 的 硬件 设备 进行 操作 ,最 后 将 结 采 返回 给 用 户 。 

虚拟 机 则 是 运行 在 虚拟 化 层 软 件 上 的 操作 系统 ,通过 虚拟 化 层 软 件 提 供 的 便 件 质 源 ， 
多 个 虚拟 机 可 以 同时 运行 在 一 个 主机 上 ,每 个 虚拟 机 可 以 像 一 台 真 正 的 主机 一 样 运行 各 
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种 应 用 程序 ,对 于 这 些 程序 而 言 ,一 个 虚拟 机 就 是 一 台 真 正 的 主机 。 
比较 常见 的 虚拟 化 架构 有 裸 机 虚拟 化 .主机 虚拟 化 以 及 操作 系统 虚拟 化 ,这 3 种 架构 
论 是 在 具体 实现 和 系统 性 能 上 还 是 在 应 用 场景 上 都 存在 着 一 定 的 差异 ,因此 在 具体 部 
ete 要 充分 考虑 架构 的 特点 以 及 实际 需求 后 再 进行 选择 。 下 面 简要 介绍 这 3 种 
涤 构 。 

裸 机 虚拟 化 架构 如 图 6-1 所 示 。 这 是 一 种 实现 比较 复杂 ,但 性 能 较 好 的 一 种 架构 模 
式 , 它 是 主流 的 企业 级 虚拟 化 架构, 广 沁 应 用 在 企业 数据 中 心 的 虚拟 化 进程 中 。 在 这 种 染 
构 中 ,Hypervisor 直接 运行 在 主机 硬件 上 ,在 硬件 资源 之 上 没有 操作 系统 ,Hypervisor 负 
a 对 上 层 虚 拟 机 的 支持 需要 通过 提供 指令 集 和 设备 接口 来 实 

。 这 种 架构 的 问题 是 人 硬件 设备 多 种 多 样 ,虚拟 机 监视 咒 不 可 能 把 每 种 设备 的 驱动 程序 
diy 所 以 这 种 以 构 文 持 的 设备 有 限 。 

主机 虚拟 化 架构 如 图 6-2 所 示 。 这 种 架构 实现 起 来 比较 简单 ,但 其 性 能 较 低 ,因此 无 
法 胜任 企业 级 的 工作 量 ,通常 用 于 开发 ,测试 或 昌 面 类 应 用 程序 。 在 这 种 架构 中 ,人 硬件 资 
源 之 上 有 牡 主机 操作 系统 ,负责 管理 硬件 设备 。Hypervisor 作为 一 个 应 用 程序 运行 在 答 
利用 宿主 机 操作 系统 的 功能 来 实现 资源 的 抽象 和 和 上层 虚 拟 机 的 控制 。 

这 种 架构 由 底层 操作 系统 对 设备 进行 管理 ,不 用 担心 设备 驱动 程序 的 实现 。 这 种 架构 由 
于 需要 利用 簿 主机 操作 系统 来 完成 对 硬件 资源 的 操作 和 管理 ,因此 效率 和 功能 受 和 宿主 机 
影响 较 大 ,其 性 能 大 大 低 于 神 机 虚拟 化 染 构 。 


应 用 程序 


应 用 程序 应 用 程序 操作 系统 操作 系统 


操作 系统 操作 系统 
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图 6-1 裸 机 虚拟 化 架构 图 6-2 主机 虚拟 化 架构 


操作 系统 虚拟 化 架构 如 图 6-3 PP 操作 系统 虚拟 化 可 以 理解 为 对 用 户 的 困 面 操作 
系统 进行 虚拟 化 ,属于 果 面 虚拟 化 。 这 种 架构 主要 是 为 虚拟 果 面 等 需要 融 虚 拟 机 和 帘 度 的 
应 用 程序 专门 打造 的 。 在 这 种 染 构 中 没有 独立 的 Hypervisor, 箱 主机 操作 系统 本 里 充当 
了 Hypervisor 的 角色 , 它 负 贡 在 多 个 虚拟 服务 右 之 间 分 配 便 件 资 源 ,并 让 这 些 服务 右 相 
互 独 立 。 在 这 种 架构 中 ,所 有 虚拟 服务 右 使 用 的 都 古音 一 且 标 准 的 控 作 系统 ,这 让 虚拟 机 
的 管理 比 起 异 构 的 环境 更 容易 ,但 灵活 性 较 差 。 为 外 ,在 这 种 架构 中 , 箱 主 机 操作 系统 文 
件 以 及 其 他 相关 资源 由 各 个 虚拟 机 共有 至 ,因此 它 提 供 的 虚拟 机 隔离 性 也 不 如 前 面 两 种 虚 
拟 化 架构 。 
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Oe 


操作 系统 虚拟 化 


簿 主机 操作 系统 


6-3 ”操作 系统 虚拟 化 架构 


虚拟 化 技术 是 对 各 种 各 梓 的 IT 资源 进行 抽象 ,根据 这 些 IT 资源 的 类 型 可 以 将 虚拟 
化 技术 划分 为 基础 设施 虚拟 化 、 系 统 虚拟 化 以 及 软件 虚拟 化 等 几 个 大 类 。 其 中 比较 常见 
的 是 系统 虚拟 化 , 它 可 以 在 个 人 计算 机 上 虚拟 出 一 个 逻辑 系统 ,负责 虚拟 机 的 创建 .运行 
和 管理 。 用 户 可 以 在 这 个 虚拟 系统 上 安 疲 和 使 用 为 一 个 操作 系统 以 及 其 上 的 应 用 程序 。 
根据 虚拟 化 的 对 和 象 可 以 将 虚拟 化 技术 细 分 为 服务 如 虚 拟人 化、 存储 虚拟 化 .时 面 虚拟 化 、 网 
络 虚 拟 化 、 应 用 虚拟 化 等 类 型 ,如 图 6-4 所 示 。 


服务 禹 虚拟 化 


AN 存储 虚拟 化 
应 用 虚拟 化 


网 络 虚拟 化 桌面 虚拟 化 


图 6-4 虚拟 化 类 型 


应 用 虚拟 化 是 指 应 用 程序 的 虚拟 化 ,即将 应 用 程序 从 操作 系统 中 分 离 出 来 ,在 不 需要 
与 用 户 的 文件 系统 相连 或 信 助 任何 设备 驱动 程序 的 情况 下 ,能 通过 压 缩 后 的 可 执行 文件 
夹 来 运行 ,在 8.1.2 节 中 将 对 其 进行 详细 介绍 。 下 面 对 另 外 5 种 虚拟 化 类 型 进行 详细 
前 述 。 


6.1.2 ”服务 器 虚拟 化 


服务 器 虚拟 化 指 的 是 将 虚拟 化 技术 应 用 于 服务 器 ,将 一 个 物理 服务 器 虚拟 成 若干 个 
独立 的 逻辑 服务 器 使 用 ,使 得 多 个 虚拟 机 在 同一 物理 机 上 同时 独立 运行 ,并 且 这 些 虚拟 机 
都 交 由 一 个 物理 服务 器 托管 ,如 图 6-5 所 示 。 服 务 器 虚拟 化 将 虚拟 内 存 、 虚 拟 1/O、 虚 所 
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BIOS、 虚 拟 处 理 副 以 及 虚拟 设备 等 鲁 件 资源 抽象 成 可 以 统一 管理 的 迎 辑 资源 ,并 将 其 提 
供给 虚拟 机 以 支持 其 运行 。 此 外 , 它 还 会 为 虚拟 机 提供 民 好 的 隔离 性 和 安全 性 ,从 而 充分 
发 挥 服务 硕 的 硬件 性 能 。 另 外 ,服务 天 虚拟 化 可 以 动态 移动 没有 充分 利用 的 硬件 资源 到 
最 需要 的 地 方 , 从 而 提高 底层 便 件 珊 源 的 利用 率 。 


CRM 了 系统 在 线 系统 ERP 系 统 | 
操作 系统 操作 系统 操作 系统 “| 
虚拟 机 虚拟 机 虚拟 机 


物理 服务 器 
图 6-5 ”服务 器 虚拟 化 


在 很 多 情况 下 ,物理 服务 器 上 的 应 用 程序 没有 充分 利用 硬件 提供 给 它们 的 处 理 能 力 ， 
导致 痪 源 浪费 。 为 此 ,可 利用 虚拟 化 拉 术 在 同一 台 物 理 服 务 副 上 虚拟 出 多 个 虚拟 服务 带 
( 即 虚 拟 机 ) ,以 区 分 利用 撒 层 的 便 件 资产。 服务 硕 虚 拟 化 是 虚拟 化 技术 中 最 早 细 分 出 来 
日 最 为 成 熟 的 领域 ,在 中 小 企业 中 部 署 服 务 帮 虚 拟 化 也 成 为 一 种 重要 的 解决 方案 。 现 在 
的 x86 服务 器 的 设计 存在 局 限 性 ,每 次 只 能 运行 一 个 操作 系统 和 应 用 ,这 为 IT 部 门 带 来 
了 挑战 。 因 此 ,即使 是 小 型 数据 中 心 也 必须 部 蜀 大 量 服 务 副 ,而 每 侣 服务 右 的 容量 利用 这 
只 有 5%~15% ,无论 以 哪 种 标准 来 衡量 ,都 十 分 低 效 。 虚 拟 化 使 用 软件 来 模拟 硬件 并 创 
建 虚拟 计算 机 系统 。 这 样 一 来 ,企业 便 可 以 在 单 台 服务 器 上 运行 多 个 虚拟 系统 ,也 就 是 运 
行 多 个 操作 系统 和 应 用 ,而 这 可 以 实现 规模 经 济 以 及 提高 效益 。 调 查 显 示 ,全球 疙 围 的 企 
业 对 于 服务 希 虚 拟 化 的 认 知 率 已 经 达到 了 75% ,173 的 企业 已 经 在 使 用 或 准备 部 署 服 务 
希 虚 拟 化 。 早 在 2008 年 , 绝 大 多 数 的 世界 500 强 企 业 束 已 经 采用 了 服务 需 虚 拟 化 技术 。 
目前 ,使 用 比较 广泛 的 服务 天 虚拟 化 产品 有 华为 公司 的 FusionSphere、H3C 公司 的 CAS 
和 云 宏 公司 的 CNware。 

服务 需 虚 拟 化 通过 软件 加 上 提供 对 撒 层 硬件 设备 的 抽象 以 及 对 虚拟 服务 需 的 管理 ， 
这 些 软 件 通 第 被 业界 用 专用 术语 一 一 虚拟 化 平台 (Hypervisor) 和 虚拟 机 监视 项 来 描述 。 

虚拟 化 平台 被 定义 为 直接 运行 在 硬件 之 上 ,负责 虚拟 机 的 托管 和 管理 的 软件 中 间 层 ， 
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其 实现 会 直接 受到 底层 体系 结构 的 约束 。 虚 拟 机 监视 右 被 定义 为 负 呐 对 虚拟 机 提供 硬件 
资源 抽象 ,为 客户 操作 系统 提供 运行 环境 的 软件 。 对 这 两 个 术语 通常 不 作 严 格 区 分 ,它们 
的 出 现 源 于 虚拟 化 软件 的 不 同 实 现 模式 。 

在 服务 器 虚拟 化 中 ,虚拟 软件 在 虚拟 机 和 箱 主 机 操作 系统 之 间 , 它 提供 的 虚拟 化 层 处 
于 硬件 平台 之 上 .客户 操作 系统 之 下 ,而 虚拟 化 层 的 实现 方式 主要 可 以 分 为 原生 虚拟 化 和 
寄 答 虚拟 化 两 种 。 

原生 虚拟 化 通常 实现 起 来 较为 复杂 ,但 性 能 较 好 。 虚 拟 化 平台 就 采用 这 种 实现 方式 ， 
它 直 接 运行 在 硬件 之 上 ,不 用 安装 像 Windows 这 样 的 系统 ,为 运行 在 其 上 的 虚拟 机 提供 
指令 集 和 设备 接口 ,向 虚拟 机 提供 支持 。 

寄 答 虚 拟 化 实现 起 来 较为 容易 ,但 通常 性 能 低下 。 虚 拟 机 监视 兹 就 米 用 这 种 实现 方 
式 , 它 是 运行 在 答 主 机 操作 系统 之 上 的 应 用 程序 ,利用 和 窒 主 机 操作 系统 的 功能 来 实现 人 硬件 
资源 的 抽象 和 虚拟 机 的 管理 。 

服务 需 虚 拟 化 技术 的 核心 是 对 CPU ,内存 .LO 设备 这 3 种 便 件 资源 进行 抽象 。 

(1) CPU 虚拟 化 技术 。 将 物理 CPU 抽象 成 相互 隔离 晶 互 不 影响 的 虚拟 CPU ,并 且 
在 任意 时 刻 ,一 个 物理 CPU 只 能 运行 一 个 虚拟 CPU 指令 ,而 每 个 客户 操作 系统 可 以 使 
用 一 个 或 多 个 虚拟 CPU 。 

(2) 内 存 虚 拟 化 技术 。 对 物理 机 的 夏 实 内 存 进行 统一 管理 ,包装 成 多 个 虚拟 的 物理 
内 存 ,提供 给 多 个 虚拟 机 使 用 ,每 个 虚拟 机 拥有 相互 独立 的 内 存 空间 。 内 存 虚拟 化 的 思路 
是 分 块 共享 ,内存 共 吾 的 核心 思想 是 内 存 页 面 的 写 时 复制 (copy on write) 。 

(3) I/O 设备 虚拟 化 技术 。 对 物理 机 的 真实 设备 进行 统一 管理 ,包装 成 多 个 虚拟 设 
备 , 提 供给 多 个 虚拟 机 使 用 , 啊 应 每 个 虚拟 机 的 设备 访问 请 求 和 1/O 请 求 。 

另外 ,为 实现 更 好 的 动态 资源 整合 ,当前 大 多 数 服 务 需 虚拟 化 技术 都 文 持 虚拟 机 实时 
迁移 。 实 时 迁移 技术 指 的 是 虚拟 机 在 运行 过 程 中 ,将 整个 虚拟 机 在 原来 的 宿主 机 人 硬件 平 
台 的 运行 状态 完整 且 快 速 地 迁移 到 新 的 和 宿主 机 硬件 平台 上 ,并 且 整 个 迁移 过 程 是 平滑 的 ， 
用 户 几 乎 察觉 不 出 来 的 。 实 时 迁移 技术 之 所 以 能 够 很 好 地 在 服务 器 虚拟 化 中 实现 ,是 因 
为 虚拟 化 抽象 了 真实 的 物理 资源 ,因此 原宿 主机 和 目标 和 窒 主 机 硬件 平台 的 异 构 性 可 以 得 
到 支持 。 

相对 其 他 虚拟 化 技术 ,服务 器 虚拟 化 技术 发 展 较为 成 熟 , 其 强 隔 离 、 易 封装 、 多 实例 、 
高 性 能 等 特性 可 以 为 其 在 实际 环境 中 的 运用 提供 保证 , 它 也 因 自 号 具备 的 各 种 独特 优势 
而 受到 各 大 型 企业 的 欢迎 。 总 的 来 说 ,服务 器 虚拟 化 主要 有 以 下 优势 : 

(1) 加 速 应 用 部 署 。 

在 传统 的 数据 中 心 部 署 一 个 应 用 往往 需要 人 驳 寻找 合适 的 物理 机 ,找到 之 后 ,就 要 在 物 
理 机 上 安装 操作 系统 及 中 间 件 ,然后 才能 在 操作 系统 上 安装 应 用 ,然后 还 必须 进行 相关 的 
配置 和 测试 ,最 后 才能 运行 应 用 ,整个 过 程 通常 要 消耗 十 几 个 小 时 甚至 几 天 的 时 间 。 但 采 
用 服务 器 虚拟 化 后 ,部署 一 个 应 用 只 需要 几 分 钟 至 几 十 分 钟 ,整个 过 程 其 实 就 是 部 署 一 个 
封装 好 的 操作 系统 和 应 用 程序 的 虚拟 机 ,具体 过 程 是 : 先 输入 配置 参数 进行 激活 , 接 者 复 
制 并 启动 虚拟 机 ,最 后 激活 虚拟 机 。 与 传统 的 应 用 部 署 方式 相 比 , 服 务 器 虚拟 化 大 大 加 快 
了 应 用 的 部 署 , 旦 无 须 人 工 干 预 ,降低 了 部 署 成 本 ， 
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(2) 提高 服务 可 用 性 。 

服务 可 用 性 指 的 是 服务 能 够 持续 、 可 靠 地 运行 的 能 力 。 服 务 的 高 可 用 性 则 要 求 将 日 
常 维 护 操 作对 服务 的 影响 降 到 最 低 , 即 使 发 生 了 硬件 丢失 或 系统 故障 ,服务 也 要 在 短 时 间 
内 恢复 。 

为 了 保证 服务 的 可 用 性 ,传统 的 数据 中 心 往往 会 采用 多 机 备份 .了 见 余 等 技术 手段 ,有 
时 还 可 能 使 用 额外 的 可 用 性 管理 工具 对 服务 进行 监控 和 调度 。 但 采用 服务 部 虚拟 化 后 ， 
由 于 虚拟 机 是 单个 的 逻辑 文件 , 且 其 对 应 的 处 理 器 和 内 存 资源 都 被 虚拟 机 管理 程序 封装 
和 隔离 ,因此 用 户 可 以 对 运行 中 的 虚拟 机 生成 快照 并 备份 成 虚拟 机 镜像 文件 ,这 样 就 可 以 
在 需要 的 时 候 动 态 迁 移 虚 拟 机 ,同时 将 它 恢 复 到 某 个 备份 ,或 者 在 其 他 物理 机 上 运行 该 备 
份 ,这 大 大 提高 了 服务 的 可 用 性 。 

(3) 提高 应 用 兼容 性 。 

在 传统 的 数据 中 心 ,在 互 不 兼容 的 环境 中 运行 的 应 用 往往 会 产生 兼容 性 问题 ,这 使 得 
应 用 在 开发 的 过 程 中 往往 需要 考虑 硬件 平台 、 操 作 系 统 . 中 间 件 等 各 个 级 别 的 兼容 性 问 
题 ,另外 ,应 用 的 互 不 兼容 也 给 管理 .维护 和 整合 带 来 了 很 大 的 难度 。 而 服务 器 虚拟 化 技 
术 能 让 应 用 所 在 的 平台 与 底层 服务 器 环境 相互 分 离 , 它 提供 了 封装 和 隔离 的 服务 ,可 以 让 
一 个 应 用 版 本 在 被 虚拟 化 封装 后 的 不 同类 型 的 平台 上 发 布 并 运行 ,从 而 极 大 地 提高 了 应 
用 的 碰 容 性 。 

(4) 提升 资源 利用 率 。 

在 传统 的 数据 中 心中 ,出 于 安全 性 ,管理 简便 以 及 运行 性 能 的 考虑 ,在 绝 大 多 数 x86 
服务 器 上 只 能 运行 一 个 应 用 ,这 使 得 服务 器 的 CPU 利用 率 普 遍 很 低 , 平 均 只 有 5% ~ 
20%。 而 服务 右 虚 拟 化 可 以 将 原 有 的 多 台 服 务 器 整合 到 一 台 物 理 服 务 咽 上 ,有 旦 其 通过 虚 
拟 化 技术 可 以 提供 隔离 性 和 封装 性 ,因此 可 以 提高 服务 器 的 使 用 率 , 同 时 还 能 保证 安全 性 
及 运行 性 能 。 通 过 对 服务 器 进行 虚拟 化 整合 ,可 以 大 幅度 提高 服务 器 的 CPU 内存、 网 
络 、 存储 等 资源 的 利用 率 。 

(5) 提高 灵活 适应 力 。 

传统 数据 中 心 的 服务 器 是 相互 隔离 的 ,如 果 用 户 需要 调整 服务 器 的 资源 ,往往 需要 先 
关闭 服务 器 ,然后 打开 机 箱 安 装 设备 ,调整 好 资源 后 再 重启 服务 器 。 而 服务 器 虚拟 化 能 
提供 实时 迁移 功能 , 即 可 以 在 不 中 断 服 务 的 情况 下 将 虚拟 机 从 一 台 物 理 服 务 器 迁移 到 为 
一 台 物 理 服务 器 ,每 个 虚拟 机 都 可 以 在 资源 池 中 自由 移动 ,因此 用 户 可 以 即时 地 调整 
CPU .内存 等 虚拟 机 的 资源 。 男 外 ,虚拟 化 产品 都 会 提供 可 被 程序 调用 的 资源 调整 应 用 
程序 编程 接口 (API) 和 用 户 可 操作 的 界面 ,因此 管理 人 员 可 以 灵活 地 根据 虚拟 机 内 部 的 
资源 使 用 情况 为 虚拟 机 调整 和 分 配 资 源 。 

(6) 降低 运 昔 成 本 。 

为 了 更 新 和 维护 IT 基础 设施 ,传统 数据 中 心 往往 要 投入 大 量 资金 , 除 了 设备 的 采购 
成 本 ,还 要 持续 不 断 地 支付 基础 设施 的 运行 .管理 和 维护 成 本 。 服 务 器 虚拟 化 技术 让 管理 
人 员 的 管理 工作 不 用 再 考虑 物理 服务 紫 、 中 间 件 、 碰 容 性 以 及 物理 操作 系统 等 问题 。 男 
外 ,服务 器 虚拟 化 产品 广 商 还 会 提供 功能 强大 的 虚拟 化 环境 管理 工具 以 及 简便 强大 的 管 
理 界面 ,因此 服务 器 虚拟 化 技术 可 以 极 大 地 提高 管理 人 员 的 工作 效率 ,降低 IT 基础 设施 
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的 运营 成 本 。 

(7) 降低 能 源 消耗 。 

在 传统 数据 中 心中 ,一 个 处 理 吕 在 运行 的 时 候 往往 还 需要 制冷 .通风 等 操作 ,这 些 和 都 
使 得 数据 中 心 的 能 源 消耗 十 分 严重 。 在 这 种 传统 模式 下 ,如 来 要 市 能 减 排 , 就 只 能 关闭 利 
用 率 不 噩 的 服务 副 , 而 应 用 是 运行 在 服务 费 上 的 ,关闭 了 服务 各 的 同时 也 关闭 了 应 用 , 因 
此 这 种 做 法 在 实际 上 并 不 可 取 。 而 服务 硕 虚 拟 化 解除 了 物理 服务 逢 和 应 用 的 绑 定 ,因此 
在 负载 低谷 的 时 候 可 以 将 原来 运行 在 各 个 服务 此 上 的 应 用 整合 到 较 少 的 几 台 服务 船上 ， 
然后 将 空闲 的 物理 服务 天 关闭 ,这样 束 可 以 减少 实际 运行 的 物理 服务 右 的 数量 ,从 而 减少 
耗 电量 ,达到 降低 能 源 消 耗 的 效 末 。 


6.1.3 存储 虚拟 化 


存储 虚拟 化 位 于 云 存储 系统 中 的 核心 层次 ,是 衡量 云 人 存储 系统 的 一 个 重要 指标 。 存 
储 虚 拟 化 技术 通过 一 定 的 手段 ,将 便 盘 .磁盘 阵列 (RAID) 等 存储 介质 模块 集中 到 一 个 存 
储 池 中 进行 统一 管理 ,这 样 可 以 为 使 用 者 提供 高 数据 传输 性 能 以 及 大 容量 的 虚拟 存储 , 同 
时 也 人 商 化 了 管理 人 员 对 存储 资源 的 管理 工作 。 对 于 主机 来 说 ,这 些 存 储 导 源 不 再 是 多 个 
硬盘 ,而 是 一 个 分 区 或 卷 ,就 如 同一 个 超大 容量 的 人 硬盘 ;对 于 用 户 来 说 ,虚拟 化 的 存储 贤 源 
怠 是 一 个 巨大 的 资源 池 , 撒 层 具 体 的 磁盘 、 磁 市 对 用 户 是 透明 的 ,用 户 无 须 关 心 数 据 是 如 
何 存 储 的 、 数据 是 如 何 呈 现 到 云 操 作 系 统 终 病 上 的 等 一 系列 问题 。 

存储 虚拟 化 技术 通过 捉 融 存 储 设备 的 利用 率 来 扩展 容量 ,可 以 极 大 地 降低 设备 采购 
成 本 ,其 具备 的 伸缩 特性 能 够 实现 存储 容量 的 动态 扩展 以 及 对 用 户 存 储 空间 的 动态 分 配 ， 
还 能 消除 云 存 储 系统 中 不 同 广 商 生产 的 存储 设备 的 物理 差异 性 。 


6.1.4 ”桌面 虚拟 化 


打 面 虚拟 化 是 指 利 用 虚拟 化 技术 将 用 户 果 面 的 镜像 文件 存放 到 数据 中 心 。 果 面 虚拟 
化 将 用 户 的 时 面 操 作 环 境 和 其 使 用 的 终端 相 分 离 , 每 个 用 户 的 完整 果 面 环境 都 存储 在 服 
务 器 上 ,用户 可 以 使 用 智能 手机 、PC 等 具有 足够 的 处 理 和 显示 功能 的 终端 设备 通过 网 络 
来 访问 其 果 面 环境 。 

更 面 虚拟 化 将 众多 终端 的 资源 集合 到 后 台 的 数据 中 心 , 终 端 用 户 通 过 特殊 的 身份 认 
证 智能 授权 装置 登录 任意 的 终端 ,就 能 获取 其 相关 数据 ,而 无 须 改 变 任何 使 用 习惯 。 呆 面 
虚拟 化 允许 一 台 物 理 人 硬件 同时 安装 多 个 操作 系统 ,能 够 让 管理 人 员 对 众多 的 用 户 终 问 进 
行 统 一 认证 、 统 一 管理 以 及 对 资源 进行 更 灵活 的 调配 ,只 需 在 数据 中 心 进行 系统 维护 ,加 
强 了 对 应 用 软件 和 补丁 管理 的 控制 ,同时 也 大 大 地 提高 了 设备 的 利用 率 和 计算 机 的 安全 
性 。 另 外 ,桌面 虚拟 化 可 以 帮助 企业 简化 轻 量 级 客户 端 架 构 ,降低 企业 硬件 与 软件 的 采购 
开销 以 及 运行 和 维护 的 成 本 ,并 且 还 可 以 降低 企业 内 部 管理 的 成 本 和 风险 。 


6.1.5 网 络 虚 拟 化 


网 络 虚拟 化 是 使 用 基于 软件 的 抽 辕 从 交换 机 、 网 络 问 口 、 路 由 大 以 及 其 他 物理 网 络 元 
系 中 分 离 网 络 流量 的 一 种 方式 ,通常 包括 虚拟 局 域 网 (VLAN) 和 虚拟 专用 网 (VPN)。 在 
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过 去 近 30 年 里 ,网 络 运营 模型 一 直 保 持 不 变 , 而 当时 其 承载 的 是 静态 的 工作 负载 ,并 直接 
在 物理 服务 副 上 运行 。 现 在 这 种 过 时 的 网 络 模 型 使 得 企业 难以 获得 虚拟 化 的 全 部 优势 ， 
制约 了 软件 定义 网 络 数据 中 心 的 进一步 发 展 。 而 虚拟 网 络 的 逻辑 空间 为 其 提供 了 创建 和 
部 署 虚拟 应 用 程序 工作 负载 的 能 力 。 虚 拟 网 络 能 够 抽象 底层 网 络 硬 件 ,并且 只 要 有 IP 连 
接 ,虚拟 网 络 就 能 够 在 任何 网 络 硬件 上 运行 。 

可 以 将 一 个 物理 局 域 网 划分 为 多 个 虚拟 局 域 网 ,也 可 将 多 个 物理 局 域 网 中 的 节点 划 
分 到 一 个 虚拟 局 域 网 中 ,划分 出 来 的 虚拟 局 域 网 内 的 通信 类 似 于 物理 局 域 网 ,对 用 户 是 透 
明 的 。 每 个 虚拟 局 域 网 属于 一 个 广播 域 ,隔离 了 其 他 虚拟 局 域 网 的 广播 流量 ,提高 了 通信 

虚拟 专用 网 对 网 络 连 接 进 行 了 抽象 , 它 允 许 用 户 远 程 访问 组 织 内 部 的 网 络 , 旦 这 种 访 
问 就 像 是 耳 接 连接 到 该 网 络 上 。 将 虚拟 专用 网 应 用 于 大 量 的 办 公 环 境 , 可 以 让 用 户 安 全 
且 快 速 地 访问 应 用 程序 和 数据 , 且 能 避免 来 日 Internet 或 Intranet 中 不 相干 网 段 的 威胁 ， 
更 好 地 保护 IT 环境 。 


6 2 虚拟 化 安全 问题 


近年 来 , 云 计 算 的 应 用 越 来 越 广 沁 。 虚 拟 化 反 术 作为 云 计算 核心 拉 术 之 一 ,能 将 硬件 
资源 虚拟 化 成 巨大 的 动态 资源 池 ,并 能 为 用 户 动态 且 按 需 分 配 地 提供 计算 资源 ,因而 受到 
云 服 务 提 供 商 的 育 睐 。 然 而 ,虚拟 化 撤 术 在 提高 云 计算 设施 利用 率 的 同时 ,其 采用 的 全 新 
拉 术 架构 组 织 结构 、 管 理 系 统 等 也 给 云 计 算 币 来 了 许多 在 传统 计算 模式 中 不 存在 的 安全 
问题 ,虚拟 化 安全 面临 着 许多 全 新 的 威胁 和 挑战 ,传统 的 安全 防护 手段 已 经 无 法 再 你 证 云 
计算 的 安全 。 为 外 ,在 虚拟 化 染 构 中 ,用 户 需 要 通过 虚拟 机 来 获得 云 计算 提供 的 云 服务 ， 
虚拟 化 层 既 要 与 用 户 进 行 交 互 ,又 要 负 贡 对 底层 的 硬件 资源 进行 调用 ,因此 虚拟 化 安全 是 
云 计算 安全 的 核心 问题 。 


6.2.1 虚拟 化 安全 概况 


虚拟 化 作为 云 计算 的 核心 支撑 技术 ,能 对 底层 硬件 资源 进行 逻辑 抽象 , 徊 化 云 计 算 环 
境 中 资源 的 访问 和 管理 过 程 , 能 有 效 提 高 云 基础 设施 的 使 用 效率 ,因此 被 广泛 应 用 于 公有 
云 、 私 有 云 以 及 各 类 混合 云 中 。 但 是 从 安全 角度 来 说 ,虚拟 化 环境 不 仅 要 面 对 数 据 泄露 、 
恶意 代 人 码 分 布 式 拒绝 服务 攻击 (DDoS) 、 炳 毒 传播 、 后 门 、Rootkit 等 传统 的 安全 风险 ,而 
且 要 面 对 因 为 其 采用 的 新 技术 而 给 云 计算 市 来 的 许多 传统 计算 模式 所 不 存在 的 安全 威 
胁 。 例 如 , 随 独 虚拟 终端 数量 的 迅速 增长 ,运行 在 同一 台 主 机 上 的 所 有 虚拟 机 会 相互 搜 于 
存储 /OO、 网 络 市 宽 等 有 限 的 物理 资源 。 虚 拟 化 暴露 出 的 弱点 往往 很 容易 被 攻击 者 利用 ， 
而 过 去 的 安全 防护 措施 已 经 无 法 青 满足 云 计算 这 种 新 型 计算 模式 的 安全 需求 ,因此 ,为 你 
证 虚拟 化 充分 发 挥 其 抵 层 支撑 作用 ,很 和 必要 采取 针对 虚拟 化 的 安全 防护 措施 。 虚 拟 化 
的 安全 问题 实际 上 反映 了 云 计 算 在 抵 层 基础 设施 层面 的 安全 问题 ,因此 ,只 有 确保 虚拟 化 
的 安全 ,为 云 计算 提供 坚实 可 徘 的 基础 ,才能 更 有 效 地 保护 云 计 算 的 安全 。 
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总 的 来 说 , 云 计算 中 虚拟 化 存在 的 安全 问题 主要 可 以 分 为 3 类 ,包括 虚拟 机 软 便 件 配 
置 缺 陷 问 题 .虚拟 机 映像 共 至 的 安全 问题 以 及 系统 省 理 程序 与 访问 机 制 问题 : 

(1) 虚拟 机 软 人 硬件 配置 缺 隐 问题。 在 很 多 情况 下 ,虚拟 机 在 物理 便 件 配 置 上 没有 采 
取 有 效 的 隐 离 方法 ,在 软件 的 配置 上 也 没有 进行 严格 的 虚拟 区 间 划 分 ,同时 虚拟 化 环境 中 
往往 缺乏 完善 的 安全 防护 链 , 因 此 存储 设备 之 间 的 信息 隅 离 无 法 得 到 你 证 ,很 容易 产生 相 
应 的 安全 漏洞 ,使 得 虚拟 机 上 的 用 户 数据 被 泄露 。 

(2) 虚拟 机 映像 共有 时 的 安全 问题 。 用 户 在 利用 虚拟 机 映像 功能 时 ,由 于 使 用 方式 不 
当 , 可 能 会 获取 受 恶 意 病毒 感染 的 虚拟 机 上 映像, 这样, 用户 在 云 计算 环境 中 操作 时 将 很 容 
多 主动 或 锌 动 地 获取 恶意 软件 ,从 而 导致 日 身 的 用 户 数据 币 恶 意 监 控 和 获取 ,使 得 目 身 的 
隐私 信息 泄露 或 被 破坏 。 邦 外 ,用 户 目 身 的 操作 也 可 能 被 监视 和 控制 。 

(3) 系统 管理 程序 与 访问 机 制 问题 。 由 于 缺乏 有 效 的 安全 防护 机 制 , 尤 其 是 严格 的 
访问 机 制 , 系 统管 理 程序 作为 虚拟 化 拉 术 体系 的 重要 枢纽 ,一 旦 遭 到 破坏 ,将 会 泄露 虚拟 
机 元 数据 ,攻击 者 则 可 以 在 不 受 安 全 限制 的 情况 下 任意 操作 这 些 被 泄露 的 元 数据 ,甚至 实 
现 对 虚拟 机 的 控制 。 

采用 了 虚拟 化 技术 的 云 计 算 环 境 与 传统 IT 环境 有 着 很 大 的 区 别 ,其 中 最 大 的 区 别 
是 它 的 存储 环境 .计算 环境 和 网 络 环境 是 虚拟 的 ,这 一 点 使 得 云 计算 安全 面临 者 巨大 的 挑 
战 : 虚拟 化 的 存储 方式 使 得 数据 的 隔离 以 及 数据 的 彻 压 清除 变 得 很 难 实施 ;虚拟 化 的 计 
算 方 式 使 得 各 应 用 进程 之 间 的 相互 影响 很 难 控制 ;虚拟 化 的 网 络 结构 使 得 传统 的 分 域 式 
防护 不 再 适用 ;虚拟 化 的 服务 模式 给 且 份 管理 和 访问 控制 增加 了 一 定 的 难度 。 

万 外 ,虚拟 化 还 彻 展 改变 了 传统 的 网 络 通信 方式 ,同时 也 打破 了 传统 网 络 边界 的 划分 
方式 ,使 得 云 计算 环境 下 的 网 络 边 寞 变 得 模糊 且 动 态 多 变 ,因此 给 云 计算 环境 市 来 以 下 安 
全 挑 成 : 

(1) 虚拟 机 之 间 无 法 隔离 。 由 于 众多 的 租户 共 孚 同一 套 虚拟 化 软件 和 基础 设施 ,并 
将 应 用 和 数据 存储 在 上 面 ,因此 同一 台 服 务 各 上 不 同和 租户 之 间 的 虚拟 机 很 难 做 到 有 效 

(2) 虚拟 机 的 通信 流量 不 可 视 。 在 虚拟 化 环境 中 ,一 台 物 理 机 上 一 般 会 部 车 多 台 虚 
拟 机 ,同一 台 物 理 机 内 部 的 虚拟 机 之 间 可 以 信 助 虚拟 化 平台 进行 信息 的 相互 交流 ,但 是 虚 
拟 机 之 间 进 行 数据 交换 时 不 会 经 过 传统 的 网 络 接 人 层 交 换 机 ,因此 虚拟 机 之 间 的 流量 是 
不 可 视 且 不 可 控 的 。 如 末 物 理 机 内 部 的 虚拟 机 不 是 出 目 同 一 个 用 户 ,那么 很 容 多 导致 数 
据 信 息 泄 露 ,或 者 导致 虚拟 机 之 间 利 用 信息 交换 展开 相互 攻击 ,而 通信 流量 的 不 可 视 及 不 
可 欣 使 得 传统 的 防护 手段 很 难 对 流量 数据 进行 监控 和 审计 。 

(3) 网 络 边界 动态 变化 。 在 虚拟 化 环境 中 ,虚拟 机 的 迁移 以 及 分 布 式 资 源 调 度 都 会 
导致 网 络 边 罩 一 直 处 于 动态 变化 的 状态 ,这 种 边界 不 辐 定 的 虚拟 化 网 络 结构 使 得 传统 的 
分 区 ,分 域 防护 难以 实现 。 为 外 ,虚拟 机 迁移 至 的 新 运行 环境 可 能 会 存在 不 可 预测 的 安全 
风险 。 

(4) 虚拟 化 平台 日 遇 的 安全 。 如 果 虚 拟 化 平台 日 号 存在 安全 漏洞 ,那么 攻击 者 束 可 
能 将 虚拟 机 当 作 跳 板 ,然后 通过 网 络 来 攻击 虚拟 化 平台 的 API, 或 者 利用 虚拟 化 平台 的 汤 
洞 , 通 过 虚拟 机 下 接 攻 击 抵 层 的 虚拟 化 平台 ,使 得 整个 云 平台 次 痪 。 
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(5) 资源 恶意 区 和 争 。 在 虚拟 化 环境 下 ,一 个 硬件 环境 会 被 多 个 虚拟 机 共 孚 ,因此 各 虚 
拟 机 之 间 可 能 会 存在 着 较为 激烈 的 质 源 苋 委 ,往往 在 虚拟 机 之 间 出 现 恶 意 强 占 资 源 的 现 
象 。 如 采 不 对 每 个 虚拟 机 可 以 利用 的 资源 进行 一 定 的 权限 设置 ,将 会 导致 一 些 虚 拟 机 拒 
绝 或 暂停 服务 ,严重 影 啊 云 服 务 的 质量 ，。 

(6) 虚拟 机 安全 管理 复 江 。 一 个 便 件 环境 里 有 厦 上 于 个 虚拟 机 ,在 同一 时 刻 管 理 这 
么 多 虚拟 机 的 安全 策略 和 状态 ,其 蝇 度 和 难度 痢 非 党 大 。 

(7) 过 去 基于 主机 的 安全 拉 术 手段 不 再 适用。 传统 的 安全 防护 措施 和 工具 部 是 基于 
物理 机 开发 的 ,因此 它们 不 再 适用 于 虚拟 环境 下 的 虚拟 机 。 

(8) 管理 员 权 限 过 度 集 中 。 传 统 数据 中 心 往 往 由 多 名 管理 员 来 分 别管 理 中 心 的 网 
络 .数据 .服务 顺和 存储 等 ,而 在 虚拟 化 环境 下 往往 由 一 名 管理 员 进 行 管 理 。 例 如 ,在 传统 
互联 网 数据 中 心 (IDC) 机 房 中 ,用 户 一 般 是 回 机 房 直 接 租 用 机 柜 或 服务 硕 , 服 务 希 的 权限 
由 用 户 目 己 进行 省 理 , 而 整个 机 房 的 网 络 环境 以 及 物理 基础 设施 的 维护 则 由 机 房 的 省 理 
员 来 负责 。 态 外 ,对 管理 员 的 权限 控制 .操作 审计 和 合 规 性 检查 的 严重 缺乏 ,都 使 得 管理 
员 的 权限 过 于 集中 ,一旦 管理 人 员 由 于 业务 不 熟 或 操作 失误 造成 虚拟 机 系统 的 配置 错误 
竺 问题 ,就 可 能 会 导致 用 户 服 务 的 中 断 或 用 户 数 据 的 丢失 ，。 

虚拟 化 安全 的 研究 是 云 计 算 发 展 的 基本 安全 保障 。 近 几 年 ,国内 外 对 虚拟 化 安全 与 
云 计 算 应 用 的 猎 究 成 果 呈 现 持续 增长 的 趋 所 , 虚 拟 化 安全 已 成 为 云 安 全 的 关键 问题 。 但 
目前 虚拟 化 安全 的 研究 还 处 于 起 步 阶 段 ,仍然 面临 者 许多 吸 须 解决 的 问题 , 云 计算 平台 的 
虚拟 化 安全 需要 更 加 完善 的 防护 技术 以 及 更 协调 统一、 高 效 的 应 急 人 处 理 机 制 。 


6.2.2 ”虚拟 化 安全 事件 


虚拟 化 安全 面临 看 很 多 的 安全 威胁 ,各 种 虚拟 化 安全 事件 频频 发 生 。 下 面 就 对 其 中 
的 两 个 虚拟 化 安全 事件 进行 介绍 。 

1. Crisis 病毒 

2012 年 7 月 ,第 一 个 感染 VMware 的 病毒 Crisis 出 现 , 并 最 先 被 共 毒 软件 厂商 
Intego 发 现 。Crisis 是 一 个 专门 针对 Mac OS 和 Windows 用 户 的 计算 机 木马 病毒 , 它 能 
够 鳃 取 即 时 通信 软件 的 聊天 记录 以 及 浏览 强 网 址 等 个 人 敏感 信息 ,例如 记录 Skype 的 通 
话 . 徊 取 MSN 和 Adium(Mac OS 上 的 即时 通信 和 客户 闹 ) 上 的 聊天 信息 、 跟 中 Firefox 以 
及 Safari 等 浏览 絮 的 历史 记录 等 ,并 且 在 获得 这 些 敏感 信息 后 还 会 将 它们 发 送 到 远程 服 
务 艇 上 上。 另外 ,Windows 版 本 的 Crisis 病毒 还 能 感染 VMware 虚拟 机 映像 Windows 
Mobile 设备 以 及 U 盘 等 , 它 能 咖 取 和 拦截 虚拟 机 中 的 数据 ,这 些 数据 包括 网 上 购物 的 金 
融 信息 等 。 

Windows 版 的 Crisis 病毒 能 够 感染 VMware 虚拟 主机 。 它 主要 是 利用 社会 工程 学 
原理 进行 攻击 , 它 会 诱骗 用 户 运 行 一 个 Java Applet, 然 后 对 用 户 的 计算 机 系统 进行 标识 ， 
并 根据 用 户 系 统 类 型 (Windows 或 Mac OS) 安 净 相 应 的 加 载 程 夺 。 安 疙 完成 后 ,该 病毒 
会 在 被 感染 的 计算 机 里 搜索 VMware 虚拟 机 映像 文件 ,如 果 找 到 了 相关 的 映像 文件 , 它 
就 会 使 用 VMware Player 工具 将 其 自 号 复制 到 虚拟 机 映像 文件 中 ,从 而 感染 VMware 虚 
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所 主机 ,之 后 它 还 会 感染 与 计算 机 相连 的 Windows Mobile 设备 ,在 设备 上 安装 一 个 流 谍 
模块 以 窃取 用 户 敏 感 信 息 。 


2. VENOM 漏洞 

CrowdStrike 公司 的 安全 人 研 究 员 称 ,市 面 上 流行 的 大 多 数 虚 拟 化 平台 都 存在 一 种 名 
为 YENOM(“ 毒 液 ”) 的 QEMU 安全 漏洞 ,这 种 安全 漏洞 最 早 是 由 CrowdStrike 公司 的 
高 级 技术 人 员 在 检查 虚拟 化 平台 安全 性 时 发 现 的 , 它 存 在 于 虚拟 机 中 的 虚拟 软盘 驱动 带 
(Floppy Disk Controller,FDC) 中 ,能 造成 虚拟 机 逃逸 ,让 攻击 者 越过 虚拟 化 技术 的 限制 ， 
直接 对 窒 主 机 进行 访问 及 监控 ,并 通过 宿主 机 的 权限 来 访问 该 宿主 机 上 的 其 他 虚拟 主机 。 
CrowdStrike 公司 的 安全 人 研究 人 员 表 示 ,攻击 者 可 能 会 利用 VENOM 漏洞 来 危害 数据 中 
心 网 络 中 的 任何 一 台 主 机 ,上 百 万 个 虚拟 机 将 处 于 网 络 攻击 的 风险 之 中 。 

VENOM 是 一 个 存在 于 虚拟 软盘 驱动 硕 代 码 中 的 QEMU 安全 漏洞 ,QEMU 是 一 球 
可 以 让 用 户 管理 虚 拟 机 的 开源 计算 机 模拟 器 。 在 虚拟 化 环境 下 ,客户 操作 系统 会 通过 回 
虚拟 FDC 的 输入 输出 端 发 送 搜索 、 读 取 、 写 入、 格式 化 等 指令 与 虚拟 FDC 通信 ,QEMU 
的 虚拟 FDC 会 使 用 一 个 固定 大 小 的 缓冲 区 来 存储 这 些 指令 及 其 相关 参数 ,虚拟 FDC 跟 
踪 并 预计 每 条 指令 需要 多 少数 据 ,在 指令 所 有 预期 的 数据 接收 完成 后 执行 下 一 条 指令 并 
清空 缓冲 区 。 而 VENOM 汤 洞 正 是 从 客户 端 问 虚 拟 FDC 发 送 指令 以 及 经 过 精心 制作 的 
参数 ,致使 虚拟 FDC 的 缓冲 区 洪 出 ,从 而 在 主机 的 监控 程序 进程 环境 中 执行 恶意 代码 。 

VENOM 漏洞 的 危害 性 极 大 , 它 一 旦 控制 了 箱 主 机 ,就 会 利用 簿 主机 强大 的 性 能 进 
行 暴力 破解 密码 .获取 和 宿主 机 所 有 虚拟 机 上 的 RSA 私 钥 和 数据 库 等 一 系列 攻击 。 男 外 ， 
它 的 影响 范围 也 十 分 巨大 ,虚拟 化 平台 上 成 千 上 万 个 需要 依 徘 虚 拟 机 分 配 共 享 存 储 、 技 术 
资源 以 及 隐私 服务 的 终 问 用 户 都 将 面临 网 络 攻击 的 安全 威胁 。 


63 ”虚拟 化 面临 的 安全 威胁 


虚拟 化 拉 术 十 云 计 算 的 核心 技术 , 它 能 帮助 云 计算 合理 配置 质 源 ,从 而 提高 物理 基础 
设施 的 利用 率 , 促 进 方 能 减 排 ,同时 也 能 简化 云 计 算 环 境 中 资源 的 访问 和 管理 过 程 。 但 
是 ,虚拟 化 技术 在 改变 传统 计算 模式 ,使 得 云 计 算 采 用 全 新 的 技术 结构 .组 织 结构 .进程 以 
及 省 理 系统 的 同时 ,也 市 来 了 虚拟 机 台 延 .虚拟 机 暂 态 隐患 ,状态 恢复 隐患 ,特殊 配置 隐 
患 .运行 威胁 等 很 多 潜在 的 安全 威胁 。 男 外 , 随 看 虚拟 化 技术 的 不 断 普 及 和 应 用 ,其 潜在 
的 安全 漏洞 也 日 益 显 现 , 针 对 虚拟 化 架构 的 安全 威胁 以 及 攻击 手段 也 日 益 增多 ,严重 影响 
者 虚拟 化 平台 的 安全 。 其 中 ,比较 第 见 的 虚拟 化 安全 攻击 包括 虚拟 机 逃逸 、 虚 拟 机 跳 著 、 
虚拟 机 般 取 和 得 改 .拒绝 服务 攻击 .虚拟 机 移植 攻击 、 指 令 狂 洞 攻 击 `VMBR 攻击 等 。 下 
面 将 选取 其 中 的 一 些 安 全 隐患 和 安全 攻击 进行 介绍 。 


6.3.1 虚拟 机 蔓延 


虚拟 机 蔓延 是 指 由 于 虚拟 机 被 大 量 创建 ,致使 回收 计算 资源 或 清理 虚拟 机 的 工作 越 
来 越 困 难 , 即 虚拟 机 繁殖 失去 控制 , 它 会 对 系统 的 安全 性 、 资 源 的 利用 率 以 及 使 用 成 本 等 
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产生 影响 。 

随 着 虚拟 化 技术 的 日 益 完善 ,其 独特 的 优势 得 到 了 全 球 越 来 越 多 的 企业 的 青睐 ,虚拟 
化 技术 在 IT 系统 中 迅速 得 到 普及 和 应 用 。 从 2009 年 开始 ,虚拟 机 的 数量 就 已 经 超过 了 
硬件 服务 器 的 数量 。 随 着 虚拟 化 技术 的 普及 和 不 断 发 展 ,创建 虚拟 机 越 来 越 容易 ,而 单 台 
物理 服务 器 上 运行 的 虚拟 机 数量 也 在 迅速 增长 ,因此 ,一旦 不 能 在 数量 上 适当 地 对 虚拟 机 
的 创建 和 部 署 进行 控制 ,以 及 在 虚拟 资源 配置 上 进行 合理 的 分 析 和 限制 ,就 会 产生 虚拟 机 
草 延 的 现象 ,尤其 在 监管 松散 的 大 型 公司 ,这 种 现象 更 容易 出 现 。 

总 的 来 说 ,虚拟 机 草 延 主要 有 了 幽灵 虚拟 机 、 价 尸 虚拟 机 以 及 虚 胖 虚拟 机 3 种 表现 
形式 。 


1. 幽灵 虚拟 机 

幽灵 虚拟 机 在 创建 的 时 候 往往 没有 经 过 合理 的 验证 和 审核 ,从 而 产生 不 必要 的 虚拟 
机 配置 ,而 企业 往往 会 由 于 业务 上 的 需求 会 保留 一 定数 量 的 宛 余 虚拟 机 ,因此 这 些 幽 灵 虚 
拟 机 就 被 保留 了 下 来 。 当 这 些 虚拟 机 被 弃 用 后 ,如 果 在 虚拟 机 的 生命 周期 管理 上 缺乏 控 
制 ,那么 随 着 时 间 的 推移 ,将 不 会 有 人 知道 这 些 虚 拟 机 的 创建 原因 ,因此 管理 人 员 并 不 敢 
删除 或 回收 这 些 虚拟 机 ,从 而 只 能 任 其 消耗 计算 资源 。 

2. 僵尸 虚拟 机 

在 实际 的 信息 系统 中 ,虚拟 机 往往 由 于 生命 周期 的 管理 流程 存在 缺陷 而 缺乏 控制 ,这 
使 得 许多 已 经 停 用 的 虚拟 机 及 其 相关 的 虚拟 机 镜像 文件 仍然 保留 在 硬盘 上 ,甚至 还 会 为 
了 备份 而 保留 这 些 虚拟 机 镜像 文件 的 多 份 副 本 ,这 些 占据 着 服务 器 的 大 量 存储 资源 的 虚 
拟 机 就 是 僵尸 虚拟 机 。 随 着 虚拟 化 技术 的 不 断 进 步 ,虚拟 机 的 创建 越 来 越 简单 ,这 使 得 用 
户 经 常会 创建 上 千 个 虚拟 机 。 但 是 , 随 着 时 间 的 推移 ,管理 人 员 并 不 能 区 分 出 哪些 虚拟 机 
正在 使 用 ,哪些 虚拟 机 已 经 被 弃 用 ,因此 整个 虚拟 化 平台 上 将 存在 着 大 量 的 僵尸 虚拟 机 ， 
这 些 僵尸 虚拟 机 会 对 系统 的 资源 以 及 系统 的 安全 性 带 来 很 大 影响 。 

3. 虚 胖 虚拟 机 

虚 胖 虚拟 机 指 的 是 在 配置 时 被 分 配 了 过 高 的 CPU 内存 或 存储 容量 等 资源 ,而 在 实 
际 部 署 后 这 些 资源 却 没 得 到 充分 利用 的 虚拟 机 。 虚 胖 虚 拟 机 占据 着 分 配给 它们 的 CPU、 
内 存 以 及 存储 资源 而 并 没有 有 效 地 利用 这 些 资源 ,这 样 会 使 得 其 他 资源 匮乏 的 虚拟 机 无 
法 使 用 这 些 资源 ,长 期 下 去 会 造成 严重 的 资源 浪费 ,影响 企业 业务 运转 的 效率 。 

虚拟 机 草 延 对 系统 的 安全 性 造成 了 很 大 的 影响 。 首 先 , 随 着 虚拟 化 技术 的 不 断 进 步 
和 完善 ,如 今 用 户 仅 用 数秒 就 可 以 完成 对 虚拟 机 的 创建 和 部 署 。 对 于 虚拟 化 平台 的 管理 
人 员 来 说 ,要 对 这 些 虚 拟 机 进行 安全 防护 .监控 管理 以 及 升级 更 新 却 是 很 难 的 ,虚拟 机 草 
延 更 是 极 大 地 增加 了 安全 管理 人 员 的 工作 难度 和 工作 负担 。 其 次 ,同一 台 物 理 机 上 一 般 
会 运行 多 个 虚拟 机 ,尤其 是 在 虚拟 机 草 延 的 情况 下 , 单 台 物理 机 上 的 虚拟 机 数量 会 更 多 ， 
这 些 虚拟 机 上 的 所 有 客户 操作 系统 都 可 以 直接 访问 网 络 ,一旦 安全 防护 措施 不 能 有 效 地 
保护 虚拟 机 的 安全 ,将 极 有 可 能 使 得 虚拟 机 面临 网 络 入 侵 等 一 系列 网 络 安全 威胁 。 例 如 ， 
攻击 者 可 以 很 容易 地 入 侵 和 利用 一 个 废弃 的 虚拟 机 ,进而 访问 Hypervisor 或 其 宿主 机 上 
的 其 他 虚拟 机 ,从 而 严重 损害 系统 的 安全 性 。 再 次 ,虚拟 机 草 延 会 使 得 资源 的 利用 率 下 
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取 , 例 如 大 量 弃 用 的 僵尸 虚拟 机 仍然 消耗 大 一 定 的 计算 资源 ,其 虚拟 机 副本 已 经 无 效 , 却 
仍然 占据 看 存储 资源 ,这 些 僵尸 虚拟 机 对 数据 中 心 的 便 件 资源 造成 了 极 大 的 滔 费 ,使 得 资 
源 的 利用 率 变 得 很 低 。 最 后 ,虚拟 化 复 延 还 会 造成 软件 许可 证 、 服 务 器、 存储 设备 及 时 间 
等 成 本 的 增加 ,也 增加 了 虚拟 机 的 使 用 成 本 。 


6.3.2 ”虚拟 机 逃逸 


虚拟 机 逃逸 指 的 是 由 于 虚拟 化 平台 存在 的 安全 漏洞 或 虚拟 机 之 间 不 正确 的 隅 离 方 
式 ,使 得 虚拟 机 之 间 的 隅 离 失 效 , 从 而 让 获得 Hypervisor 的 访问 权限 的 非特 权 虚 拟 机 入 
侵 同 一 特 主 机 上 的 其 他 虚拟 机 ,如 图 6-6 所 示 。 在 正常 情况 下 ,同一 个 虚拟 化 平台 下 的 虚 
拟 机 之 间 是 不 能 够 相互 监视 的 ,平台 中 的 任意 一 个 虚拟 机 都 不 会 影响 其 他 虚拟 机 及 其 


图 6-6 虚拟 机 逃逸 


第 5 曹 曾经 介绍 过 Hypervisor, 它 是 运行 在 物理 服务 磊 和 操作 系统 之 间 的 中 间 软 件 
层 , 是 所 有 虚拟 化 技术 的 核心 ,其 功能 是 对 主机 的 底层 硬件 资源 进行 逻辑 抽象 ,并 将 虚拟 
化 的 资源 分 配给 虚拟 机 。 比 起 操作 和 系统, 小巧、 简单 的 Hypervisor 往往 能 够 防御 很 多 程 
序 的 低级 漏洞 威胁 ,因此 更 加 安全 。 但 是 ,攻击 者 仍然 会 利用 Hypervisor 对 其 他 虚拟 机 
发 起 虚拟 机 逃逸 攻击 。 

攻击 者 进行 虚拟 机 逃逸 攻击 前 ,往往 会 移 获 取 Hypervisor 的 访问 权限 甚至 人 侵 或 破 
坏 Hypervisor, 然 后 再 对 其 他 虚拟 机 展开 攻击 。Hypervisor 在 虚拟 机 操作 系统 和 主机 操 
作 系 统 之 间 起 到 指令 转换 的 作用 ,因此 攻击 者 可 以 完 控制 虚拟 化 平台 上 的 一 个 虚拟 机 , 然 
后 通过 一 定 的 手段 在 这 个 虚拟 机 内 部 产生 大 量 随 机 的 1/O 器 口 活 动 , 寻 致 Hypervisor 朋 
沉 。 一 旦 Hypervisor 被 攻破 了 ,攻击 者 就 可 以 任意 访问 Hypervisor 所 控制 的 所 有 虚拟 
机 以 及 主机 操作 系统 ,攻击 者 甚至 还 可 以 在 主机 操作 系统 上 执行 恶意 代码 ,进而 和信 侵 企业 
的 内 部 网 络 ,最 终 威胁 整个 云 计算 平台 的 安全 。 


6.3.3 ”虚拟 机 跳跃 


虚拟 机 跳 唉 指 的 是 通过 一 个 虚拟 机 监控 其 他 虚拟 机 或 接 入 其 所 在 的 箱 主 机 的 现象 。 
虚拟 机 跳跃 是 虚拟 化 安全 中 的 一 种 第 见 攻击 手段 ,攻击 者 往往 基于 一 个 虚拟 机 通过 东 种 
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方式 获取 同一 个 Hypervisor 上 的 其 他 虚拟 机 的 访问 权限 ,继而 对 这 些 虚 拟 机 进行 攻击 ， 
如 图 6-7 所 示 。 虚 拟 机 跳跃 与 虚拟 机 逃逸 的 区 别 在 于 前 者 不 需要 获得 Hypervisor 的 访 
问 权 限 或 对 其 进行 破坏 ,而 是 利用 Hypervisor 上 虚拟 机 之 间 能 够 通过 共享 内 存 、 网 络 连 
接 或 其 他 共享 资源 进行 相互 通信 的 特点 来 实现 攻击 。 


图 6-7 虚拟 机 跳 工 


通常 情况 下 ,虚拟 机 跳跃 可 以 分 为 两 种 情况 : 

(1) 位 于 东 个 虚拟 机 上 的 攻击 者 通过 和 东 种 方式 越过 了 Hypervisor 层 并 获得 了 答 主 
机 操作 系统 的 控制 权限 ,那么 攻击 者 就 可 以 对 主机 上 的 任意 一 个 虚拟 机 进行 攻击 破坏 。 
攻击 者 不 仅 能 够 监控 流 经 其 他 任意 一 个 虚拟 机 的 流量 ,通过 控制 或 算 改 流量 来 攻击 其 他 
虚拟 机 ,还 可 以 通过 修改 配置 文件 来 算 改 其 他 虚拟 机 的 配置 ,致使 正在 运行 的 虚拟 机 被 迫 
停止 运行 ,并 且 还 会 导致 与 遭受 攻击 的 虚拟 机 相关 的 通信 被 迫 中 断 , 造 成 不 完整 的 通信 ， 
从 而 严重 人 破坏 信息 系统 。 

(2) 攻击 者 使 用 一 个 恶意 的 虚拟 机 ,通过 虚拟 机 之 间 的 通信 方式 悄悄 地 访问 或 控制 
该 Hypervisor 上 的 其 他 虚拟 机 。 攻 击 者 可 以 利用 晋 意 的 虚拟 机 来 确定 Hypervisor 给 其 
他 虚拟 机 分 配 的 内 存 的 具体 位 置 ,然后 就 可 以 在 那个 位 置 进行 谈 取 和 写 人 ,从 而 实现 在 未 
经 过 授权 的 情况 下 通过 虚拟 机 跳跃 攻击 来 对 其 他 虚拟 机 进行 访问 ,进而 干涉 其 他 虚拟 机 
的 操作 。 


6.3.4 ”拒绝 服务 攻击 


在 虚拟 化 基础 架构 中 ,拒绝 服务 攻击 (DoS) 指 的 是 ,如 果 管 理 人 员 在 Hypervisor 上 
制订 的 资源 分 配 策 略 不 严格 或 不 合理 ,攻击 者 利用 单个 虚拟 机 消耗 所 有 系统 资源 ,从 而 造 
成 其 他 虚拟 机 由 于 资源 匮乏 而 无 法 正常 工作 或 提供 服务 的 现象 。 虚 拟 化 系统 外 的 攻击 者 
往往 会 利用 拒绝 服务 攻击 来 降低 云 服务 的 可 用 性 ,通过 降低 云 计算 的 运行 质量 来 让 云 用 
户 流 失 , 从 而 达到 其 商业 性 的 攻击 目的 。 

除 此 之 外 ,在 拒绝 服务 攻击 的 基础 上 还 产生 了 一 类 新 的 攻击 方式 : 分 布 式 拒 绝 服务 
攻击 (DDoS)。 单 一 的 DoS 攻击 是 采用 一 对 一 的 方式 进行 的 ,而 DDoS 则 是 利用 网 络 上 
多 人 台 已 被 攻陷 的 计算 机 作为 僵尸 主机 对 特定 目标 进行 攻击 ,这 些 僵尸 主机 指 的 是 感染 了 
具备 晋 意 控 制 功能 的 代码 的 主机 。 攻 击 者 利用 这 些 主机 能 进行 远程 攻击 , 当 僵 尸 主机 的 
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数量 达到 10 万 台 以 上 时 ,攻击 者 就 会 利用 僵尸 主机 发 动 大 规模 的 DDoS 攻击 ,这 在 云 计 
算 中 更 是 很 容易 实现 的 。2010 年 ,David Bryan 在 Defcon 大 会 上 公开 演示 了 如 何 仅 用 6 
美元 的 成 本 就 能 利用 亚马逊 EC2 云 计 算 服 务 对 目标 网 站 发 起 致命 的 DDoS 攻击 。 雁 力 
式 的 云 拒绝 服务 攻击 呈现 大 幅 上 涨 的 趋势 ,其 点 数目 以 及 攻击 的 强度 也 在 逐年 提高 。 
统计 信息 显示 ,2005 年 DDos 攻击 数量 达到 顶峰 时 的 带宽 是 3.5Gb/s, 而 到 了 2006 年 则 
超过 了 10Gb/s, 且 由 于 攻击 的 规模 受到 了 互联 网 骨干 连接 能 力 的 限制 ,其 真实 的 流量 避 
能 还 会 更 高 。Arbor 公司 的 2010 年 网 络 基础 设施 安全 调查 报告 显示 , 当 带 宽 超 过 20Gbys 
的 时 候 , 发 生 了 3500 多 起 针对 云 计算 环 境 数据 中 心 的 DDoS 攻击 事件 。 

网 络 中 的 数据 包 是 利用 TCP/IP 进行 传输 的 ,如 果 传 输 的 数据 包 数 量 过 多 , 则 会 引起 
服务 需 或 网 络 设备 过 载 ,攻击 者 正 是 基于 这 一 点 发 起 DDoS 攻击 。 他 们 往往 会 利用 某 些 
网 络 协议 或 应 用 程序 的 缺陷 来 人 为 构造 不 完整 或 不 正 稼 的 数据 包 , 从 而 造成 服务 占 或 网 
络 设 备 由 于 长 时 间 处 理 数据 而 消耗 过 多 的 系统 资源 ,从 而 无 法 啊 应 正常 的 业务 。 

DDoS 攻击 一 般 很 难 防御 ,因为 非法 流量 总 是 和 正常 的 流量 相互 混杂 ,并 且 很 难 区 分 
非法 流量 与 正常 的 流量 ,而 非法 流量 又 没有 固定 的 特征 ,因此 无 法 利用 特征 库 来 对 其 进行 
识别 。 另 外 ,很 多 DDoS 攻击 使 用 了 伪造 的 源 IP 地 址 来 发 送 报 文 ,这 种 源 地 址 欺骗 的 技 
术 手 段 可 以 让 其 又 避 基于 异 凋 模式 识别 的 检测 工具 。 


6.3.5 虚拟 机 移植 攻击 


虚拟 化 平台 一 般 根据 用 户 的 特定 服务 需求 动态 地 创建 虚拟 机 ,并 将 其 提供 给 用 户 。 
当 服 务 结束 或 用 户 要 求 撤除 云 服 务 时 ,这 些 动 态 创建 的 虚拟 机 应 该 被 销毁 ,其 对 应 的 真实 
物理 资源 应 该 经 过 数据 拟 除 后 再 分 配给 此 后 请 求 资 源 的 用 户 。 但 是 ,在 很 多 情况 下 云 服 
务 供应 商 并 不 天 注 残 留 数 据 的 清除 问题 ,存储 介质 中 的 数据 由 于 没有 经 过 一 定 级 别 的 探 
除 处 理 而 未 被 彻底 清除 ,残留 的 数据 在 安全 条 件 较 低 的 环境 中 可 能 会 在 无 意 中 泄 露 用 户 
的 敏感 信息 。 一 旦 残留 在 存储 介质 中 的 数据 信息 被 攻击 者 非法 获取 ,攻击 者 可 能 会 通过 
残留 的 猴 迹 获取 用 户 的 操作 特性 或 用 户 数据 占用 空间 大 小 等 参数 ,甚至 可 能 会 对 用 户 数 
据 进 行 恢复 ,从 而 发 生效 据 泄露 事件 ,给 用 户 市 来 严重 的 损失 。 

男 外 , 当 虚 拟 机 从 一 台 物 理 服务 器 迁移 到 男 一 台 物 理 服务 器 上 时 ,也 可 能 无 法 做 到 将 
数据 从 源 牡 主 物理 服务 器 上 彻底 清除 ,残留 在 磁盘 中 的 数据 可 能 会 被 攻击 者 恶意 恢复 。 
另外 ,虚拟 机 的 动态 迁移 也 增加 了 安全 监测 与 审计 的 复杂 度 ,在 迁移 的 过 程 中 ,虚拟 机 的 
敏感 数据 可 能 会 被 禄 听 或 禄 取 , 而 且 虚 拟 机 在 不 同 服务 器 之 间 目 动迁 移 可 能 会 让 一 些 重 
要 的 虚拟 机 迁移 到 不 安全 的 目标 物理 服务 器 上 ,例如 从 内 部 网 络 迁 移 到 了 非 军 事 化 区 
(Demilitarized Zone,DMZ) ,从 而 被 恶意 攻击 者 攻击 ;也 有 可 能 把 不 安全 的 虚拟 机 迁移 到 
了 安全 区 域 , 给 原本 安全 的 网 络 融 来 安全 威胁 ， 


6.3.6 VMBR 攻击 


VMBR(Virtual Machine Based Rootkit, 基 于 虚拟 机 的 Rootkit) 攻 击 是 一 种 基于 虚 

拟 机 的 Rootkit 攻击 。Rootkit 攻击 是 一 组 用 于 隐 汗 恶意 入 侵 活 动 的 工具 集 。 攻 击 者 入 
侵 计 算 机 的 主要 目的 是 获得 系统 的 高 度 控 制 权 ,这 样 它 就 能 够 避免 人 侵 检 测 ,同时 还 能 监 
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控 、 拦 截 甚至 算 改 系统 中 其 他 软件 的 状态 和 动作 ,而 系统 防御 者 只 有 获得 比 攻 击 者 更 高 的 
系统 控制 权 , 才 可 能 检测 出 恶意 的 入侵 活动 。 由 于 计算 机 系统 的 层次 关系 ,只 有 系统 防御 
者 获得 系统 底层 的 控制 权 , 才 能 在 一 定 程度 上 抵御 攻击 者 的 人 侵 。 

原始 的 Rootkit 只 是 一 些 简单 的 用 户 级 程序 ,系统 防御 者 通过 用 户 级 的 人 侵 检 测 系 
统 就 可 以 很 容易 地 将 它们 检测 出 来 。 随 后 ,Rootkit 转移 到 操作 系统 内 核 , 内 核 级 的 
Rootkit 通过 修改 内 核 数 据 结构 来 隐藏 恶意 程序 ,与 此 同时 ,入 侵 检 测 系 统 也 深入 到 操作 
系统 内 核 层 来 进行 安全 检测 ,从 而 使 得 Rootkit 丧失 了 隐藏 自身 和 控制 系统 的 优势 。 随 
春 虚 拟 化 技术 的 应 用 和 普及 ,利用 虚拟 化 技术 实现 的 Rootkit 又 一 次 打破 了 平衡 ,基于 虚 
拟 机 的 Rootkit 能 获得 更 高 的 操作 系统 控制 权 , 从 而 可 以 提供 更 多 的 恶意 人 侵 功 能 ,并 且 
还 能 将 目 员 的 所 有 状态 和 活动 完全 隐藏 起 来 ,这 给 系统 防御 带 来 极 大 的 挑战 。 

VMBR 攻击 如 图 6-8 所 示 , 它 的 基本 思想 是 在 目标 操作 系统 之 下 安装 一 个 虚拟 机 监 
视 右 (VMM) ,把 目标 操作 系统 上 移 , 变 成 一 个 虚拟 机 ,这 样 在 VMM 中 运行 的 任何 恶意 
程序 都 不 会 被 运行 在 目标 操作 系统 上 的 入 侵 检 测 程 序 发 现 。 在 虚拟 化 基础 架构 中 ,如 果 
攻击 者 能 成 功 将 Hypervisor 算 改 成 一 个 VMBR ,那么 将 会 给 虚拟 机 中 的 所 有 用 户 数 据 以 
及 应 用 程序 带 来 严重 威胁 ,因为 在 Hypervisor 上 运行 的 所 有 虚拟 机 都 将 被 攻击 者 所 控 
制 ,并 且 攻 击 者 还 能 够 在 Hypervisor 上 运行 任意 的 恶意 程序 。 


目标 应 用 A 目标 应 用 B 


亚 意 软件 A 


主机 操作 系统 


(b) 广 人 后 
图 6-8 VMBR 攻击 


微软 公司 和 密 吹 根 大 学 的 研究 人 员 曾 实现 了 一 种 名 为 SubVirt 的 VMBR , 它 依赖 于 
VMware 这 样 的 商用 虚拟 化 软件 来 构建 虚拟 化 环境 ,并 且 需 要 主机 操作 系统 来 为 其 自 
的 运行 提供 支持 。VMBR 的 组 件 有 虚拟 化 软件 VMM .主机 操作 系统 以 及 运行 在 其 上 的 
恶意 软件 ,在 SubVirt 注入 前 ,目标 操作 系统 直接 运行 在 硬件 上 ,而 在 SubVirt 注入 后 , 目 
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标 操作 系统 则 上 移 , 建 立 在 虚拟 化 软件 VMM 上 的 一 个 虚拟 机 上 。 恶 意 软件 与 目标 操作 
系统 分 离 ,运行 在 主机 操作 系统 或 VMM 上 ,因此 目标 操作 系统 无 法 检测 出 恶意 软件 ,更 
无 法 对 其 进行 修改 和 删除 。 与 此 同时 ,VMM 还 能 掌握 目标 操作 系统 上 所 有 用 户 数 据 以 
及 应 用 程序 的 运行 状态 ,因此 VMBR 可 以 对 这 些 数据 ,事件 以 及 状态 进行 任意 的 修改 而 
不 被 目标 操作 系统 发 现 。 


6.4 虚拟 化 安全 解决 策略 


随 着 云 计 算 的 应 用 和 普及 ,作为 云 计算 核心 技术 的 虚拟 化 技术 也 因 其 独特 的 优 执 而 
受到 各 IT 企业 的 欢迎 。 但 是 ,虚拟 化 在 提高 便 件 基础 设施 利用 率 提升 企 业 运 俏 效 率 的 
同时 ,也 给 云 计算 市 来 许多 未 知 的 安全 隐患 ,针对 虚拟 化 的 安全 攻击 更 是 层出不穷 。 例 
如 ,虚拟 机 杏 延 侵占 数据 中 心 资 源 , 从 而 大 大 降低 系统 性 能 ;虚拟 机 逃逸 入 侵 内 部 网 络 ,从 
而 严重 影响 虚拟 机 安全 ;虚拟 机 跳跃 截获 虚拟 机 流量 ,从 而 中 断 虚 拟 机 通信 ;Hypervisor 
层 引 和 人 获取 控制 权 , 从 而 严重 威胁 虚拟 机 运行 。 

为 应 对 虚拟 化 带 来 的 各 种 安全 挑战 ,应 该 对 物理 主机 、 主 机 操作 系统 、 虚 拟 机 操作 系 
统 及 其 应 用 程序 .Hypervisor 等 进行 全 方位 的 安全 部 普 , 确 你 云 计算 基础 设施 的 安全 。 
其 中 ,Hypervisor 和 虚拟 机 的 安全 防护 最 为 天 键 。Hypervisor 的 安全 防护 主要 通过 催化 
Hypervisor 功能 以 及 保护 Hypervisor 完整 性 来 实现 , 男 外 还 需要 保障 虚拟 机 的 资源 隔离 
性 .通信 安全 性 .数据 安全 性 以 及 代码 完整 性 等 。 而 虚拟 机 的 安全 防护 则 需要 结合 基于 虚 
拟 化 框 猴 的 安全 监控 ,采取 划分 安全 域 、. 制 定 访问 控制 委 略 等 措 龙 来 实现 对 操作 系统 和 应 
用 程序 的 安全 防护 。 第 5 和 草 已 经 对 Hypervisor 安全 机 制 ,虚拟 机 监控 机 制 以 及 流量 安全 
防护 进行 了 详细 介绍 ,本 而 接 下 来 的 内 容 将 介绍 其 他 虚拟 化 的 安全 解决 策略 。 

6.4.1 ”宿主 机 安全 机 制 

箔 主机 的 安全 耳 接 影响 看 整个 虚拟 化 环境 的 安全 ,因为 攻击 者 一 旦 能 够 访问 物理 笨 
主机 ,那么 它们 就 能 够 对 宿主 机 上 的 所 有 虚拟 机 展开 各 种 形式 的 攻击 ,例如 ,攻击 者 可 以 
在 宿主 机 的 操作 系统 上 利用 网 络 嗅 探 攻击 来 捕获 网 卡 中 流入 或 流出 的 数据 流量 ,通过 对 
流量 的 分 析 来 实现 对 虚拟 机 通信 和 数据 的 鼻 改 来 破坏 虚拟 机 通信 ;攻击 者 还 可 以 在 不 登录 
虚拟 机 系统 的 情况 下 ,直接 使 用 箱 主 机 操作 系统 的 特定 功能 来 杀 死 虚拟 机 进程 .关闭 虚拟 
机 或 监控 虚拟 机 资源 的 使 用 情况 ,甚至 可 以 删除 整个 虚拟 机 ,或 利用 U 盘 、 光 盘 等 鳃 取 存 
储 在 宿主 机 操作 系统 上 的 虚拟 机 镜像 文件 。 由 此 可 以 看 出 , 答 主 机 得 到 安全 保护 是 虚拟 
机 人 免 遭 恶意 攻击 者 攻击 的 前 提 。 

目前 ,传统 的 安全 防护 技术 已 经 发 展 得 较为 成 熟 , 绝 大 多 数 传统 的 计算 机 系统 都 已 经 
具备 了 包含 物理 安全 .操作 系统 安全 .人 侵 检 测 与 防护 、. 补丁 更 新 与 远程 管理 技术 防火墙 
等 方面 的 较为 完善 且 有 效 的 安全 机 制 , 而 这 些 安全 技术 同样 可 以 有 效 地 保障 虚拟 系统 的 
安全 。 因 此 ,在 虚拟 化 环境 下 仍然 可 以 使 用 传统 的 安全 防护 技术 来 实现 对 承载 虚拟 机 的 
和 刹 主 机 的 安全 防护 。 
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云 计 算 平 台 的 主机 包括 服务 器 、 终端/ 工作 站 、 安 全 设备 /系统 等 计算 机 设备 ,而 主机 
安全 主要 指 的 是 它们 在 物理 层面 和 操作 系统 层面 的 安全 。 
为 保障 主机 的 安全 ,在 物理 层面 可 采取 的 安全 措施 如 下 : 
(1) 任何 进入 服务 器 机 房 的 访客 必须 经 过 安保 人 员 的 许可 或 持 有 门禁 卡 , 才 能 被 允 
许 进 入 服务 器 机 房 。 
(2) 对 BIOS 的 设置 应 规定 只 能 从 主 硬 盘 启 动 , 除 此 之 外 禁止 从 任何 设备 启动 。 为 
外 ,要 对 BIOS 进行 密码 设置 ,防止 启动 选项 被 非法 算 改 。 
(3) 要 做 好 对 宿主 机 客户 机 操作 系统 以 及 第 三 方 应 用 的 所 有 外 部 端口 的 控制 工作 ， 
防止 攻击 者 的 非 授 权 访 问 。 
(4) 服务 器 安装 完毕 并 且 初 始 化 启动 后 ,要 拆除 软驱 以 及 光驱 。 
(5) 服务 器 机 房 中 的 主机 和 机 箱 要 用 安全 锁 固定 ,以 防止 硬盘 被 盗 。 
另外 ,在 操作 系统 层面 可 采取 的 安全 措施 包括 以 下 几 个 : 
(1) 在 宿主 机 上 部 署 独立 的 防火 场 和 和 人 侵 检 测 系统 , 并 给 每 个 可 以 访问 操作 系统 的 
用 户 分 配 一 个 账户 ,在 服务 开局 前 要 使 用 防火 墙 进行 限制 ,确保 只 有 被 信任 的 访客 才能 访 
问 操作 系统 。 
(2) 采取 严格 细致 的 认证 策略 和 访问 控制 ,可 以 严格 限制 非法 认证 的 次 数 , 如 果 有 用 
户 连 续 一 定 次 数 登 录 失 败 , 那 么 系统 将 会 日 动 取消 该 用 户 的 账号 。 另 外 ,系统 还 应 该 严格 
限制 用 户 登 录 访 问 的 时 间 和 范围 ,对 超出 规定 时 间或 允许 的 访问 范围 的 用 户 ,系统 会 对 这 
些 用 户 的 访问 一 律 加 以 拒绝 。 
(3) 在 操作 系统 中 使 用 的 密码 尽量 使 用 由 字母 、 数 字 以 及 符号 充分 混合 的 \ 尽 可 能 长 
的 .让 人 很 难 猜 测 的 高 强度 密码 ,并 且 密 码 要 定期 更 换 。 
(4) 要 及 时 对 和 宿主 机 操作 系统 进行 系统 升级 和 补丁 更 新 ,但 在 升级 和 更 新 前 要 先 在 
非 工 作 环 境 中 进行 测试 ,以 免 千 主 机 操作 系统 由 于 升级 失败 而 影响 到 其 上 运行 的 虚拟 机 。 
(5) 系统 中 不 常 使 用 或 者 不 必要 的 服务 (尤其 是 网 络 服务 ) 和 程序 应 尽量 关闭 。 
6.4.2 ”虚拟 机 隔离 机 制 
在 多 实例 的 虚拟 化 环境 中 ,虚拟 机 之 间 的 隔离 程度 在 很 大 程度 上 影 啊 着 该 虚拟 化 平 
台 的 安全 性 ,因为 如 果 虚 拟 机 之 间 没 有 做 好 有 效 的 隔离 ,那么 虚拟 机 之 间 就 会 彼此 影响 ， 
从 而 带 来 很 多 安全 隐患 。 例 如 ,如 果 有 一 个 虚拟 机 发 生 了 错误 ,那么 该 错误 可 能 会 影响 到 
其 他 的 虚拟 机 ,甚至 还 可 能 会 影响 整个 系统 ,导致 系统 次 病 。 再 如 , 某 个 虚拟 机 的 性 能 
降 可 能 会 影响 到 其 他 虚拟 机 的 性 能 ,从 而 影响 其 他 虚拟 机 上 服务 的 性 能 ,给 用 户 造 成 巨大 
损失 。 由 此 可 见 , 虚 拟 机 之 间 的 隔离 对 于 虚拟 机 环境 的 安全 至 关 重 要 。 
虚拟 机 隔离 机 制 主要 包括 基于 访问 控制 的 逻辑 隔离 机 制 、. 进程 地 址 空间 的 保护 机 制 
和 内 存 保 护 机 制 等 ,这 些 机 制 能 够 让 各 虚拟 机 独立 运行 而 互 不 干扰 ,如 果 多 个 虚拟 机 的 进 
程 或 应 用 程序 之 间 需 要 进行 通信 , 则 必须 先 对 网 络 进行 有 效 的 配置 ,因此 虚拟 机 隔离 机 制 
对 于 提高 虚拟 化 环境 的 安全 性 有 着 重要 意义 。 
虚拟 机 安全 隔离 的 研究 一 般 以 Xen 虚拟 机 监视 器 为 基础 ,其 中 比较 突出 的 研究 成 果 
是 林 昆 等 研究 人 员 于 2010 年 提出 的 一 种 虚拟 机 安全 隔离 架构 , 它 依赖 硬件 的 安全 内 存 管 
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理 (Secure Memory Management, SMM) 和 安全 IO 管理 (Secure LO Management， 
SIOM) ,这 两 种 手段 可 以 有 效 提高 VM0(CXen 的 虚拟 机 管理 域 ) 和 虚拟 机 之 间 的 隔离 性 。 
该 架构 将 VM0 中 重要 的 内 存 和 1/O 虚拟 功能 转移 到 虚拟 引擎 上 ,实现 用 户 虚 拟 内 存 和 
VM0 内 存 的 相互 隔离 ,并 取消 了 对 VM0 中 央 探 制 的 依赖 ,从 而 能 够 确保 对 客户 虚拟 机 
和 VM0 进行 高 强度 的 隔离 。 下 面 分 别 对 SMM 和 SIOM 进行 介绍 


1. 安全 内 存 管理 

虚拟 机 共 至 或 重新 分 配 便 件 资源 时 可 能 会 存在 痢 很 多 安全 风险 。 例 如 ,虚拟 机 如 采 
占用 了 额外 的 内 存 , 而 没有 在 释放 的 时 候 重 置 这 些 区 域 ,那么 分 配 在 这 块 物理 内 存 上 的 新 
的 虚拟 机 可 能 会 读 取 其 中 的 敏感 信息 。SMM 正 是 通过 提供 加 解密 服务 来 实现 客户 虚拟 
机 内 存 和 VM0 的 相互 隔离 。 在 SMM 架构 中 ,所 有 虚拟 机 分 配 内 存 的 请 求 部 将 由 SMM 
进行 处 理 ,Hypervisor 只 会 将 SMM 控制 的 内 存 分 配给 用 户 虚 拟 机 ,SMM 会 利用 TPM 
系统 产生 和 发 布 的 加 解密 密 钥 对 虚拟 机 分 配 到 的 内 存 中 的 数据 进行 加 解密 ,这 样 , 如 果 
VM0 暂停 了 一 个 虚拟 机 ,那么 转 存 到 VM0 存储 区 的 数据 都 是 加 密 的 ,这 样 就 可 以 实现 
对 客户 虚拟 机 内 存 和 VM0 内 存 的 隔离 。 

2. 安全 I/O 管理 

在 使 用 Xen 虚拟 机 管理 设备 的 物理 主机 上 的 客户 虚拟 机 都 分 配 了 虚拟 IO 设备 ,这 
些 虚 拟 I/O 设备 可 以 在 多 个 虚拟 机 之 间 进 行 资源 复 用 、 资 源 分 工 以 及 资源 调度 等 一 系列 
的 物理 IO 资源 调度 。 在 SIOM 安全 和 省 理 架 构 中 ,每 个 虚拟 机 的 IO 访问 请 求 都 会 经 由 
日 己 的 虚拟 W/O 设备 发 送 到 1/O 总 线 上 ,再 由 虚拟 W/O 控制 器 根据 相关 协议 以 及 虚拟 机 
内 存 中 的 数据 来 决定 当前 的 W/O 操作 ,确定 好 后 ,就 可 以 通过 虚拟 W/O 总 线 访 问 真 实 的 
物理 I/O 设备 。 在 SIOM 架构 中 ,每 个 客户 虚拟 机 都 分 配 了 一 个 专用 的 虚拟 1/O 设备 ， 
这 样 虚 拟 机 的 I/O 访问 就 不 用 再 经 过 VM0, 从 而 实现 虚拟 机 1/O 操作 的 隔离 。 与 此 同 
时 ,VM0 中 如 果 发 生 故 障 , 也 不 会 对 这 个 1/O 系统 造成 影响 。 

另外 ,还 可 以 通过 访问 控制 机 制 来 增强 虚拟 机 之 间 的 隔离 性 。 目 前 比较 典型 的 虚拟 
机 访问 控制 模型 是 sHyper, 这 是 一 种 通过 访问 控制 模块 来 控制 虚拟 机 系统 进程 对 内 存 的 
访问 ,从 而 实现 内 部 资源 的 安全 隔离 的 一 种 架构 模型 。sHyper 集成 了 Xen 的 安全 模块 
XSM ,该 模块 可 以 支持 虚拟 机 之 间 的 访问 控制 ,资源 控制 以 及 隔离 虚拟 资源 等 安全 请 求 。 
在 执行 访问 控制 策略 的 过 程 中 ,sHyper 会 先 收 集 虚 拟 机 标签 .访问 操作 类 型 等 本 次 虚拟 
机 访问 操作 的 相关 信息 ,然后 调用 XSM 模块 来 判定 虚拟 机 对 其 请 求 的 资源 的 访问 权限 ， 
最 后 再 根据 判定 结果 实施 访问 控制 策略 。 

利用 sHyper 可 以 控制 单 台 物理 主机 上 多 个 虚拟 机 之 间 痪 源 的 隅 离 ,但 是 无 法 解决 
大 规模 分 布 式 环 境 下 的 虚拟 机 隅 离 安 全 问题 。 针 对 这 一 点 ,有 研究 者 在 sHyper 的 基础 
上 提出 了 一 种 名 为 Shamon 的 分 布 式 强制 访问 控制 系统 。 该 系统 在 各 独立 的 物理 节点 上 
部 署 MAC 虚拟 机 管理 右 ,管理 器 里 包含 了 市 点 间 的 共享 参考 监控 器 , 跨 物 理 三 点 的 用 户 
虚拟 机 在 通信 上 使 用 相同 的 MAC 策略 ,而 这 些 MAC 虚拟 机 管理 器 则 会 对 不 同 用 户 虚 
拟 机 之 间 信 息 流 的 传递 进行 控制 。 另 外 ,Shamon 还 会 在 各 节点 间 构 造 安全 MAC 标记 通 
道 ,通过 MAC 标记 执行 安全 策略 来 保护 览 节 点 的 用 户 虚 拟 机 通信 的 安全 性 。 但 是 ,由 于 
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Shamon 是 针对 虚拟 机 集合 采取 访问 控制 的 系统 , 它 的 安全 末 略 较为 单一 ,灵活 性 不 够 ， 
并 且 建 立 节 点 间 安 全 通信 通道 的 认证 过 程 非常 烦琐 ,因此 其 效率 较为 低下 ,不 太 适 合 云 计 
算 环境 下 的 多 级 访问 控制 。 

6.4.3 无 代理 和 轻 代 理 机 制 

无 代理 (agentless) 安 全 模式 是 相对 于 传统 有 代理 安全 模式 提出 的 。 在 虚拟 化 拉 术 早 
期 阶段 ,安全 解决 方案 尚 无 适应 虚拟 化 的 防护 模式 ,一 般 采 用 传统 的 安全 防护 策略 ,在 每 
个 虚拟 机 上 都 部 署 安全 防护 产品 套件 , 即 所 谓 的 安全 代理 ,这 种 安全 防护 模式 被 称 为 基于 
代理 (agent-based) 的 安全 模式 。 

随 着 云 计 算 和 虚拟 化 技术 的 大 规模 应 用 ,基于 代理 的 安全 模式 出 现 了 很 多 羡 端 。 由 
于 采用 每 个 虚拟 机 都 安 疡 安全 软件 的 部 得 模式 ,对 物理 宿主 机 的 存储 空间 、 内 存 资源 占用 
比较 大 ,这 违背 了 云 计 算 使 用 虚拟 化 技术 节约 IT 资源 的 初 囊 。 分 散 部 署 安 全 代理 软件 
的 模式 给 服务 硕 整 合 工 作 市 来 了 不 必要 的 负担 。 另 外 ,基于 代理 的 安全 模式 不 能 保证 各 
虚拟 机 均 更 新 为 最 新 版 本 并 且 其 补丁 均 得 到 了 完整 的 加 固 ,只 要 一 个 虚拟 机 存在 漏洞 ,就 
可 能 对 整个 虚拟 化 环境 造成 安全 威胁 。 

无 代理 安全 模式 从 和 宿主 机 整体 考虑 ,在 答 主 机 的 虚拟 化 层 对 虚拟 机 进行 安全 检测 ,用 
户 无 须 在 每 个 虚拟 机 中 部 署 安 闻 安全 防护 代理 程序 ,将 安全 防护 进程 移出 各 个 单独 的 虚 
拟 机 ,集中 部 赣 在 一 个 虚拟 安全 服务 天 中 运行 ,分 时 扫描 各 应 用 服务 硕 虚 拟 机 ,管理 虚拟 
化 环境 下 其 他 所 有 虚拟 机 的 安全 防护 。 

然而 ,无 代理 安全 模式 也 存在 一 些 问题 ,由 于 每 个 虚拟 服务 硕 运 行 的 应 用 对 安全 防护 
策略 的 要 求 不 尽 一 致 ,因而 集中 设置 的 防护 梨 略 区 分 粒度 不 够 精细 ,不 多 实现 差异 化 俏 略 
设 定 。 而 且 如 宁 安 全 虚拟 服务 硕 被 攻破 , 则 全 体 应 用 服务 融 虚 拟 机 的 安全 防护 随 之 瓦解 ， 
出 现 单 点 失效 问题 。 

随 着 虚拟 化 技术 的 不 断 演进 ,虚拟 化 平台 安全 解决 方案 经 历 了 从 无 保护 到 有 代理 的 
传统 保护 ,再 到 无 代理 保护 的 阶段 ,如 今 推 出 了 全 新 虚拟 化 安全 解决 方案 一 一 轻 代 理 安全 
模式 。 轻 代理 安全 模式 会 在 每 台 虚 拟 机 上 安装 一 个 小 型 的 软件 代理 。 物 理 环境 无 须 导 入 
虚拟 化 平台 ,客户 闹 在 安 波 轻 代 理 后 ,能 日 动 注册 到 虚拟 化 省 理 控制 中 心 ,并 被 虚拟 化 管 
理 控 制 中 心 所 管理 。 

轻 量 的 代理 可 以 实现 大 量 的 安全 功能 ,如 应 用 控制 .设备 控制 \ 人 侵 防 御 系 统 以 及 防 
护 墙 等 安全 防护 功能 ,从 而 保障 虚拟 网 络 的 安全 。 这 些 全 面 的 安全 功能 弥补 了 无 代理 安 
全 模式 在 安全 防护 方面 存在 的 不 足 ,成功 实 现 了 性 能 和 安全 防护 之 间 的 平衡 。 


6 5 本 革 小 结 


作为 云 计 算 的 核心 技术 之 一 ,虚拟 化 拉 术 可 以 将 各 种 硬件 资源 虚拟 化 成 大 规模 的 动 

仿 资 源 池 ,并 通过 该 资源 池 动 态 地 、 按 需 分 配 地 四 用户 提供 计算 资源 ,从 而 极 大 提高 资源 

利用 从 ,帮助 企业 减少 对 便 件 基础 设施 的 贤 金 投入 ,同时 还 能 提升 运 喧 效 广 。 与 此 同时 ， 
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虚拟 化 技术 也 给 云 计算 环境 引入 了 许多 新 的 安全 问题 ,传统 的 安全 防护 指 施 已 经 无 法 再 
保 隐 云 计 算 环 境 的 安全 ,提出 针对 虚拟 化 的 安全 防护 手段 十 分 必要 。 

本 和 曹 首先 对 虚拟 化 扩 术 进行 了 介绍 ,内容 包括 虚拟 化 技术 的 发 展 历 程 .虚拟 化 技术 的 
定义 .虚拟 化 架构 虚拟 化 的 类 型 等 ,读者 通过 这 部 分 内 容 可 以 对 虚拟 化 报 术 有 基本 的 认 
识 。 接 看 ,对 云 计算 环境 下 的 虚拟 化 安全 概况 进行 了 梳理 和 分 析 , 归 纳 总 结 出 虚拟 化 给 云 
计算 环境 市 来 的 安全 挑战 ,并 对 云 计 算 领 域 两 个 比较 典型 的 虚拟 化 安全 事件 进行 了 分 析 。 
从 总 体 上 介绍 了 虚拟 化 安全 问题 后 , 束 开 始 深 入 地 分 析 了 虚拟 化 所 面临 的 安全 隐患 中 的 
虚拟 机 又 延 , 接 痢 介绍 了 5 个 虚拟 化 安全 攻击 ,包括 虚拟 机 逃逸 .虚拟 机 跳跃 .拒绝 服务 攻 
击 、 虚 拟 机 移植 攻击 和 VMBR 攻击 。 人 针对 虚拟 化 面临 的 各 种 安全 威胁 ,本 草 的 最 后 介绍 
了 3 个 虚拟 化 安全 解决 策略 ,包括 簿 主机 安全 机 制 、 虚 拟 机 隐 离 机 制 以 及 无 代理 和 轻 代 理 
机 制 。 

虚拟 化 安全 是 云 计 算 安 全 的 重 中 之 重 ,因此 读者 需要 重点 掌握 本 半 的 内 容 。 通 过 本 
草 的 分 析 梳 理 可 以 看 到 , 随 看 虚拟 化 技术 的 广泛 应 用 ,安全 问题 越 来 越 多 地 雄 壤 出 来 , 云 
计算 的 虚拟 化 存在 看 许多 安全 隐患 ,针对 虚拟 化 的 安全 攻击 更 是 层出不穷 ,请 多 关键 问题 
吸 须 解决 。 为 保证 云 平台 安全 , 自 先 应 该 保证 虚拟 化 安全 ,这 既 需 要 更 加 完善 的 防护 技 
术 , 也 需要 协调 、 统 一、 高 效 的 应 急 处 理 机 制 ,因此 ,只 有 将 技术 与 管理 有 机 地 结合 在 一 起 ， 
才能 为 云 平 台 安 全 提供 保障 。 


(1) 虚拟 化 架构 由 哪 3 部 分 组 成 ? 常 见 的 虚拟 化 架构 有 哪 3 种 ? 

(2) 虚拟 化 可 分 为 哪 几 个 种 类 ? 

(3) 服务 器 虚 拟 化 的 原理 是 什么 ?” 它 有 什么 优势 ? 

(4) 虚拟 化 技术 使 得 云 计 算 环 境 下 的 网 络 边界 变 得 模糊 且 动 态 多 变 , 这 会 市 来 哪些 
安全 挑战 ? 

(5) 简 述 幽灵 虚拟 机 、 伪 尸 虚 拟 机 、 虚 胖 虚 拟 机 这 3 种 虚拟 机 蔓延 的 主要 表现 形式 。 

(6) 什么 是 虚拟 机 逃逸 ? 什么 是 虚拟 机 跳跃 ?它们 有 什么 区 别 ? 

(7) VMBR 攻击 的 基本 思想 是 什么 ? 

(8) 列举 两 个 虚拟 化 安全 解决 策略 。 
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ye 云 计 算 操 作 系 统 概 述 


云 计算 操作 系统 又 称 云 计算 中 心 操作 系统 , 它 以 云 计算 . 云 存储 技术 为 支撑 ,对 云 计 
算 中 心 进行 运 彰 、 管 理 和 维护 ,是 建立 云 计 算 中 心 的 整体 基础 以 构 软 件 环境 。 它 是 传统 单 
机 操作 系统 面 回 互联 网 应 用 、 云 计算 模式 的 适应 性 扩展 。 与 传统 的 操作 系统 不 同 , 云 计算 
操作 系统 不 青 只 控制 单 台 计算 机 中 的 软 便 件 资源 ,而 是 负 员 省 理 整 个 云 计算 数据 中 心 的 
基础 软 便 件 设备 ,提供 基于 网 络 和 软 人 硬件 的 服务 。 

云 计算 操作 系统 是 构建 于 服务 硕 数据 存 储 融 、 网 络 等 便 件 和 操作 系统 .中间 件 、 数 据 
管理 系统 等 软件 之 上 的 云 计 算 综 合 管理 系统 ,其 组 成 通 稼 包括 大 规模 基础 软 便 件 管理 . 虚 
拟 计算 管理 .分布 式 文件 系统 .资源 调度 管理 .安全 管理 控制 等 功能 模块 。 它 具有 以 下 三 
大 功能 : 一 是 管理 和 驱动 海量 服务 融 、 存 储 等 基础 便 件 ;二 是 为 云 应 用 软件 提供 统一 、 标 
准 的 接口 :三 是 管理 海量 的 计算 任务 及 资源 调配 和 迁移 。 

营 见 的 云 计 算 操 作 系 统 主 要 有 VMware VDC-OS 、 Google Chrome OS 、 微软 Azure 
OS、eye OS、Joli Cloud OS 等 ,其 基本 框架 结构 如 图 7-1 所 示 ,主要 包括 3 层 : 访问 设备 、 
云 操作 系统 和 物理 资源 。 访 问 设备 包括 各 类 联网 设备 ,通过 云 存储 数据 或 请 求 服务 ; 云 操 
作 系 统 以 虚拟 化 技术 为 基础 ,提供 对 节点 资源 的 动态 调度 .对 数据 存储 资源 和 网 络 资源 的 
安全 管理 .对 各 类 服务 的 质量 保证 等 核心 服务 ;物理 资源 包括 各 类 网 络 基础 设施 , 它 对 用 
户 来 说 是 完全 透明 的 。 

用 户 可 以 将 常 使 用 的 软件 和 编程 开发 的 工具 系统 部 署 到 云 计算 操作 系统 上 ,以 便 使 
用 云 冯 用 户 管 理性 能 检查 数据 管理 .在线 办 公 等 应 用 服务 。 云 计算 操作 系统 的 应 用 使 
得 用 户 能 够 通过 互联 网 获取 需要 的 计算 资源 .存储 空间 以 及 应 用 程序 等 ,还 能 够 有 效 降低 
对 用 户 端 硬件 设备 的 要 求 和 使 用 成 本 。 然 而 , 云 计 算 操 作 系统 在 优化 传统 IT 系统 架构 
的 同时 ,也 给 云 计 算 安 全 市 来 了 许多 新 间 题 ,例如 ,操作 系统 和 数据 库 系 统 层 面 的 主机 
安全 。 
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7.2.1 主机 安全 


主机 安全 是 指 包括 服务 锅 、 终 端 / 工 作 站 以 及 安全 设备 /系统 在 内 的 所 有 计算 机 设备 
的 安全 。 篆 见 的 主机 安全 问题 包括 吴 份 认证 .访问 控制 .系统 独 洞 等 操作 系统 日 身 缺 陷 市 
来 的 不 安全 因 系 ,以 及 操作 系统 的 安全 配置 问题 和 病毒 对 操作 系统 的 威胁 等 。 通 第 来 说 ， 
对 主机 的 安全 控制 主要 通过 预防 和 检测 这 两 种 方式 来 实现 。 

云 计 算 的 主机 安全 一 般 通 过 设置 安全 基线 和 管理 中 心 管 理 山 来 实现 ,两 者 通过 管理 
网 进行 主机 间 通 信 。 安 全 基线 是 指 根据 虚拟 机 系统 的 实际 情况 建立 的 相应 基线 ,主要 由 
安全 配置 . 乌 洞 信息 和 系统 重要 状态 3 方面 组 成 。 安 全 配置 主要 包括 账号 .口令 、IP 通 
信 、 授 权 等 ,其 出 现 的 问题 通 前 是 人 为 距 忽 导致 的 ,因此 在 进行 安全 配置 时 ,安全 人 员 可 以 
根据 实际 情 帝 统一 定制 规范 ;漏洞 信息 涵盖 的 源 洞 包括 系统 漏洞 .业务 系统 源 润 功能 框 
染 源 洞 等 ,可 以 细 分 为 登录 源 洞 .缓冲 区 洲 出 漏洞 .拒绝 服务 汤 润 等 ,通常 漏洞 的 出 现 部 是 
系统 目 员 缺陷 所 导致 的 ;系统 重要 状态 所 监控 的 内 容 主要 包括 系统 山口 状 态 以 及 壬 要 文 
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件 、 账 号 和 进程 的 变化 。 

云 计算 系统 中 往往 存在 海量 虚拟 机 ,因此 管理 和 监控 虚拟 机 的 工作 量 往往 很 大 。 设 
置 安全 基线 和 管理 中 心 管理 端 后 ,管理 人 员 只 需要 对 安全 基线 异常 的 虚拟 机 进行 重点 关 
注 即 可 ,大 大 减轻 了 工作 量 。 通 过 监测 安全 基线 ,系统 可 以 在 第 一 时 间 发 现 可 疑 行 为 和 流 
量 , 并 发 出 告警 ,让 部 署 于 管理 中 心 的 管理 端 经 由 管理 网 实时 接收 宿主 机 、 虚 拟 机 安全 信 
息 ,并 向 宿主 机 分 配 安全 扫描 和 加 固 等 任务 ,最 后 记录 并 回 传 扫描 结果 。 通 过 对 宿主 机 的 
安全 配置 进行 扫描 ,可 以 及 时 发 现 已 经 存在 或 可 能 存在 的 漏洞 ,以 便 有 针对 性 地 对 系统 进 
行 加 固 。 值 得 注意 的 是 ,一 套 安全 基线 只 适用 于 具有 特定 系统 、 架 构 和 业务 系统 的 虚拟 
机 ,而 云 计算 系统 中 不 同 的 虚拟 机 往往 有 着 不 同 的 系统 和 架构 ,相应 地 对 于 安全 防护 的 需 
求 也 有 所 不 同 ,因此 要 针对 不 同 的 虚拟 机 建立 相应 的 安全 基线 。 

云 安全 管理 平台 的 主机 安全 常 采用 模块 化 的 设计 模式 ,使 得 安全 功能 能 够 灵活 扩展 ， 
方便 用 户 根据 自身 的 情况 灵活 选择 与 应 用 。 主 机 安全 需 具备 以 下 功能 

(1) 防范 恶意 代码 的 能 力 。 能 够 对 云 主机 的 关键 位 置 进行 主动 防护 和 监测 ,解决 病 
毒 .木马 感染 云 主机 的 问题 ， 

(2) 安全 访问 控制 能 力 。 能 够 对 云 主机 进行 主机 间 的 防火 墙 策略 部 署 ,解决 主机 间 
的 相互 攻击 和 感染 问题 ,避免 未 授权 的 访问 连接 。 

(3) 抵御 外 部 攻击 的 能 力 。 能 够 拦截 外 部 对 云 主机 的 漏洞 .账号 的 攻击 及 破解 行为 ， 
保证 云 主 机 系统 .应 用 和 服务 的 安全 ,稳定 。 

(4) 感知 云 主机 的 安全 状态 并 修复 的 能 力 。 能 够 对 云 主机 的 统一 安全 状态 进行 扫描 
和 修复 ,保证 租户 的 云 主机 的 安全 基线 统一 。 


7.2.2 云 计 算 身 份 认 证 


身份 认证 也 称 身份 验证 或 身份 鉴别 ,通常 指 在 计算 机 及 计算 机 网 络 中 确认 操作 者 身 
份 的 过 程 ,通过 用 户 提供 的 访问 凭证 确定 该 用 户 是 否 具有 对 某 类 资源 的 访问 或 更 改 权 限 ，。 
用 户 可 以 是 人 ,也 可 以 是 应 用 或 服务 ,所 有 用 户 只 有 在 被 认证 通过 的 情况 下 才能 够 对 资源 
进行 访问 或 更 改 。 身 份 认证 可 以 防止 攻击 者 假冒 合法 用 户 获得 资源 的 访问 权限 ,保证 系 
统 和 数据 的 安全 以 及 授权 访问 者 的 合法 利益 。 

真实 世界 中 对 用 户 的 身份 认证 大 致 可 以 分 成 3 种 ,分 别 是 根据 用 户 所 知道 的 信息 来 
证 明 用 户 身份 ,根据 用 户 所 拥有 的 东西 来 证 明 用 户 身份 以 及 根据 独一无二 的 生物 特征 来 
证 明 用 户 身份 。 通 过 类 比 的 方法 ,可 以 将 真实 世界 中 的 身份 认证 方法 应 用 在 云 计算 系统 
中 , 云 计算 系统 主要 通过 密码 认证 .实物 认证 和 生物 认证 来 进行 身份 认证 。 

密码 认证 根据 用 户 所 知道 的 信息 来 证 明 用 户 身份 。 密 码 认证 采用 用 户 名 /密码 的 方 
式 对 用 户 身份 进行 识别 ,该 方法 易 实现 .效率 高 ,但 安全 性 能 不 高 ,主要 原因 如 下 : 一 方 
面 ,许多 用 户 的 密码 属于 弱 口令 范畴 ,即使 用 易 被 猜测 的 字符 串 作为 密码 ; 另 一 方面 ,如 果 
密码 是 静态 数据 ,那么 在 验证 过 程 中 易 被 攻击 者 截获 。 因 此 ,密码 认证 属于 弱 认 证 方式 。 

实物 认证 根据 用 户 所 拥有 的 东西 来 证 明 用 户 身 份 。 实 物 认 证 通常 使 用 智能 卡 或 者 
USB Key 来 判断 用 户 的 身份 。 智 能 卡 是 一 种 内 置 集成 电路 的 芯片 ,存储 着 与 用 户 身份 相 
关 的 数据 ,通过 智能 卡 硬件 不 可 复制 的 特性 保证 用 户 身份 不 被 仿冒 。 此 类 方法 简单 ,但 是 
存在 一 定 的 安全 隐患 。 在 使 用 智能 卡 进行 身份 认证 时 , 读 卡 器 读 取 的 智能 卡 的 数据 是 静 
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态 的 ,攻击 者 可 通过 内 存 扫描 或 者 网 络 监听 等 技术 截获 用 户 身份 认证 信息 。USB Key 是 
一 种 动态 密码 , 它 采 用 软 硬 件 相 结合 .一 次 一 密 的 强 双 因子 认证 模式 ,由 于 每 次 的 密码 都 
会 变化 ,即使 攻击 者 截取 了 用 户 的 身份 认证 信息 ,也 无 法 在 下 次 继续 使 用 ,可 有 效 解 决 安 
全 性 和 易 用 性 之 间 的 矛盾 。 

生物 认证 根据 独一无二 的 生物 特征 来 证 明 用 户 身份 。 生 物 认 证 使 用 人 自身 具有 唯一 
性 的 生物 特征 来 进行 身份 认证 ,使 用 传感器 或 者 扫描 仪 来 读 取 人 的 生物 特征 信息 ,将 读 取 
的 信息 和 用 户 在 数据 库 中 的 特征 信息 进行 比 对 ,如 果 一 致 则 通过 认证 。 目 前 ,使 用 最 多 的 
生物 认证 是 指纹 识别 技术 。 该 方法 实施 较为 复杂 ,成 本 较 高 ,但 是 安全 性 强 。 因 此 ,生物 
认证 属于 强身 份 认证 。 

在 传统 计算 模式 下 ,企业 内 部 的 计算 机 、 网 络 .路 由 器 等 信息 设备 形成 了 一 个 可 以 被 
企业 信息 系统 管理 员 完 全 控制 的 内 部 网 络 , 即 可 信和 网络 。 位 于 网 络 边缘 的 边界 路 由 器 和 
防火 墙 将 可 信 网 络 与 外 部 网 络 隔离 ,形成 一 道 可 信 边 界 。 在 这 种 模式 下 ,企业 可 以 较 容易 
地 实现 用 户 身份 认证 和 访问 控制 。 但 在 云 计 算 模式 下 ,企业 将 一 部 分 应 用 迁移 至 云端 网 
络 中 ,而 另 一 部 分 应 用 仍 置 于 内 部 网 络 中 ,两 个 网 络 共 同 构成 企业 信息 系统 运行 的 支撑 网 
络 。 与 传统 模式 相 比 , 云 计算 模式 主要 具有 以 下 特点 ， 

(1) 网 络 结构 改变 。 在 云 计算 模式 下 , 云 服务 的 引入 使 得 传统 模式 下 的 可 信和 边界 不 
复 存 在 ,可 信和 网 络 也 随 之 消失 ,企业 无 法 控制 所 有 的 信息 资源 ,从 而 导致 传统 的 身份 认证 
和 访问 控制 无 法 得 到 有 效 的 应 用 。 

(2) 资源 动态 配给 。 企 业 将 部 分 应 用 迁移 至 云端 后 ,云端 会 根据 应 用 的 实时 需要 动 
态 地 进行 资源 配给 ,网 络 范围 会 一 直 处 于 动态 变化 之 中 ,这 将 使 得 企业 和 云 服务 提供 商 的 
网 络 监 控 较 难 实现 ,进而 影响 身份 认证 和 访问 控制 。 

(3) 凭证 保护 。 在 云 计算 环境 中 , 云 服务 总 是 通过 无 线 网 络 访问 获得 的 。 无 线 网 络 
相对 于 本 地 网 络 来 说 具有 一 定 的 风险 性 ,攻击 者 可 以 通过 网 络 截取 用 户 身 份 凭证 ,从 而 导 
致 用 户 身 份 被 冒 用 。 因 此 ,身份 认证 中 的 凭证 保护 显得 尤为 重要 ,需要 制定 并 严格 执行 有 
效 的 凭证 保护 策略 。 

根据 上 述 安全 挑战 , 云 计 算 环境 中 的 身份 认证 需要 满足 以 下 要 求 : 

(1) 采用 强 认 证 方式 。 云 计算 的 广泛 应 用 是 为 了 用 户 可 以 在 任何 时 间 、 任 何 地 点 以 
任何 终端 设备 访问 服务 。 传 统 网 络 中 使 用 频率 较 高 的 弱 认 证 方式 在 这 种 模式 下 具有 更 高 
的 风险 性 , 易 被 攻破 ,从 而 导致 用 户 数据 的 泄露 。 因 此 , 强 认证 方式 显得 尤为 重要 。 

(2) 采用 多 因子 认证 。 在 云 计算 环境 下 ,单一 的 身份 认证 方式 已 无 法 满足 云 计算 所 需 的 
高 安全 性 要 求 , 需 要 将 两 种 或 两 种 以 上 的 认证 方法 结合 起 来 进行 身份 认证 , 即 多 因子 认证 ， 

(3) 认证 级 别 动态 调整 。 云 服务 提供 商 提供 的 服务 众多 ,但 不 同 的 服务 具有 不 同 的 
重要 性 和 安全 要 求 , 因 此 ,应 根据 应 用 服务 的 不 同安 全 级 别 , 采 用 不 同 级 别 的 认证 方式 。 
通常 ,通过 低级 别 认证 的 用 户 无 法 访问 高 级 别 的 服务 ,而 通过 高 级 别 认证 的 用 户 可 以 访问 
低级 别 的 服务 。 

(4) 认证 兼容 。 用 户 和 云 服务 提供 商 通常 采用 多 种 认证 方式 。 例 如 ,一 些 高 风险 或 
高 价值 的 行业 用 户 通常 采用 强 认证 方式 和 多 因子 认证 方式 ,但 这 些 认证 方式 可 能 无 法 与 
某 个 云 服 务 或 云 应 用 提供 的 认证 方式 相 兼 容 。 因 此 ,认证 兼容 显得 尤其 重要 。 

(5) 支持 认证 委托 。 云 服务 的 引入 ,使 得 企业 的 信息 系统 存在 于 两 个 域 之 中 ,一 个 是 
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企业 日 号 ,为 一 个 是 云 服务 提供 商 。 通 律 , 在 用 户 为 了 保护 隐私 而 不 把 基本 对 份 信息 传送 
给 云 服务 提供 商 的 情况 下 , 云 服务 提供 商 无 法 对 用 户 喘 份 进行 认证 ,此 时 ,用 户 身 份 认证 
过 程 就 需要 委托 给 用 户 目 身 或 者 用 户 所 信任 的 第 三 方 认证 机 构 。 

为 了 更 好 地 规范 云 计 算 环 境 下 的 身份 认证 要 求 ,许多 企业 和 云 计 算 产 品 厂商 发 布 了 
身份 和 访问 管理 标准 ,将 其 应 用 于 云 喘 份 认 证 ,例如 SAML 和 OAuth 等 。 安 全 声明 标记 
语言 (Security Assertion Markup Language,SAML) 标 准 定 义 了 云 服 务 提 供 瑞 提供 对 份 
认证 与 授权 服务 的 方式 ,是 一 个 可 在 网 络 中 多 人 台 计算 机 上 共 孚 安全 凭证 的 开放 标准 ,可 使 
一 台 计 算 机 代表 其 他 多 人 台 计 算 机 执行 某 些 安全 功能 。SAML 通过 利用 XML 的 子 集 来 定 
义 系统 用 来 接 党 或 拒绝 对 象 声 明 的 请 求 回答 协议 。SAML 定义 了 认证 .授权 和 属性 3 种 
声明 ,认证 表示 用 户 以 前 曾 得 到 某 种 手段 (如 口令 、 人 硬件 今 牌 或 X.509 公共 密 钥 ) 的 认证 ， 
授权 表示 确定 用 户 是 否 有 权 访 问 特定 系统 或 内 容 , 属 性 表明 用 户 与 属性 相关 联 。 值 得 注 
意 的 是 ,SAML 没有 规定 声明 的 可 信任 程度 ,声明 的 可 信任 程度 是 由 本 地 系统 决定 的 , 因 
此 可 能 由 于 声明 不 准确 而 使 身份 认证 的 安全 性 受到 影响 。 

OAuth(Open Authorization, 开放 授权 ) 是 一 个 联邦 身份 认证 (Federal Identity 
Credentialing) 广 泛 支 持 的 Web 服务 标准 ,自在 通过 使 用 安全 API 实现 认证 。OAuth 是 
一 种 基于 用 户 登 录 的 授权 认证 方式 。 例 如 , 当 用 户 使 用 第 三 方 软件 调用 Google Open 
API 操作 目 己 的 Google 服务 资源 时 ,用 户 就 要 先 对 该 软件 授权 。 在 授权 过 程 中 ,第 三 方 
软件 会 引导 用 户 登 录 Google 服务 ,进行 用 户 鉴 权 , 用 户 通 过 Google 身份 鉴 权 后 才能 对 第 
三 方 软件 授权 。 显 然 ,Google OAuth 只 能 对 Google 用 户 进 行 鉴 权 ,其 他 用 户 体 系 的 用 户 
不 能 直接 鉴 权 。 为 此 ,Google 公司 提出 了 包含 OpenID 和 OAuth 协议 的 混合 协议 ,将 授 
权 和 认证 过 程 结合 以 提高 可 用 性 。 图 7-2 展示 了 包含 OpenID 和 OAnuth 协议 的 解决 方 
案 ,具体 步骤 如 下 : 

(1) Web 应 用 请 求 用 户 登 录 。 

(2) 用 户 选 择 使 用 Google OpenID 进行 登录 。 

(3) Web 应 用 请 求 发 现 Google 认证 服务 URL。 

(4) Google 回 Web 应 用 返回 XRDSCeXtensible Resource Descriptor Sequence, 可 扩 
展 贤 源 摘 述 符 厅 列 ) 信 息 , 其 中 包含 Google 认证 服务 URL。 

(5) Web 应 用 请 求 用 户 登 录 Google 服务 ,进行 用 户 鉴 权 。 

(6) Google 引导 用 户 登 录 。 

(7) 用 户 输 入 用 户 名 和 密码 进行 登录 ,同时 确认 是 否 对 第 三 方 软件 授权 。 

(8) Google 认证 中 心 返回 用 户 ID 与 授权 的 Request Token 给 Web 应 用 。 

(9) 用 户 可 以 访问 受 保护 的 资源 ,同时 可 以 继续 第 (7) 步 中 OAuth 认证 余下 的 环节 。 

从 上 述 流程 可 以 看 出 ,在 Google 解决 方案 中 ,将 OAuth 与 OpenID 的 登录 操作 合并 
在 一 起 ,并 且 在 登录 的 同时 间 Google 认证 中 心 发 送 OAuth 请 求 ,请求 用 户 授 权 。 这 样 ， 
用 户 登 录 Google, 同 时 请 求 对 应 用 授权 ,有 效 地 提高 了 认证 效率 。 


7.2.3 云 计 算 访 问 控制 


云 计 算 的 迅速 发 展 改 变 了 传统 计算 环境 ,在 为 人 们 的 工作 和 生活 市 来 方便 的 同时 也 
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(+OAuth Request Token) 是 合 对 第 三 方 授权 


(9) 允许 用 户 访 问 受 保护 次 着 
(允许 Web 应 用 继续 第 (7) 步 中 的 OAuth 许 可 证 过 程 ) 


图 7-2” ”Google OpenID 十 OAuth 协议 的 授权 认证 过 程 


引发 了 许多 安全 问题 ,其 中 , 云 服 务 右 中 的 数据 和 计算 安全 尤其 重要 。 访问 控制 是 根据 用 
户 号 份 及 其 所 归属 的 某 个 定义 组 来 限制 用 户 对 某 些 信息 项 的 访问 或 对 某 些 功能 的 使 用 的 
一 种 技术 ,一般 用 于 系统 省 理 员 控制 用 户 对 服务 右 、 目 录 、 文 件 等 网 络 资源 的 访问 ,可 以 保 
障 数据 资源 在 合法 范围 内 得 以 有 效 使 用 和 管理 。 访 问 控 制 主 要 包括 3 方面 的 控制 : 一 是 
防止 非法 用 户 访 问 受 保护 的 系统 信息 资源 ;二 是 允许 合法 用 户 访 问 受 保护 的 系统 信息 资 
源 ; 三 是 防止 合法 用 户 对 受 保护 的 系统 信息 资源 进行 非 授 权 的 访问 。 

在 传统 计算 环境 中 ,用 户 的 基本 信息 和 用 户 访 问 的 服务 都 在 企业 的 可 信和 边界 内 ,所 以 
访问 控制 扩 术 可 以 有 效 保 护 信息 资源 ,防止 非法 访问 。 但 云 计 算 环 境 中 的 计算 模式 和 存 
储 方式 都 发 生 了 很 大 改变 ,主要 体现 在 以 下 5 个 方面 : 

(1) 云 计算 环境 中 用 户 无 法 控制 资源 。 

(2) 用 户 和 云 平台 之 间 缺 乏 信 任 。 

(3) 迁移 技术 可 能 导致 数据 要 变更 安全 域 。 

(4) 多 租户 技术 使 得 访问 主体 要 重新 界定 。 

(5) 虚拟 化 技术 会 让 数据 在 同一 物理 设备 上 遭 到 哲 取 。 

为 了 确保 云 计 算 环 境 中 用 户 数 据 的 机 蜜 性 、 完 整 性 和 可 用 性 ,访问 控制 需要 进行 一 定 
的 适应 性 调整 。 经 典 的 访问 控制 模式 主要 由 3 个 要 素 构 成 : 主体 、 客 体 和 控制 策略 。 其 
中 ,主体 (subject) 是 指 提 出 请 求 或 要 求 的 实体 ,是 某 一 操作 动作 的 发 起 者 ,但 不 一 定 是 动 
作 的 执行 者 ,主体 可 以 是 菜 一 用 户 , 也 可 以 是 用 户 局 动 的 进程 .服务 和 设备 等 ;客体 
(object) 是 指 被 请 求 访 问 的 质 源 ,所 有 可 以 被 操作 的 信息 、 资源 .对象 都 可 以 是 客体 ,客体 
可 以 是 信息 文件 .记录 等 集合 体 , 也 可 以 是 网 络 硬件 设施 .无 线 通信 中 的 终端 ,甚至 可 以 
包含 另外 一 个 客体 ;控制 策略 Cattribution) 指 主体 对 客体 的 访问 规则 集 , 即 属性 集合 。 

云 计 算 环 境 下 的 访问 控制 技术 主要 包括 以 下 3 种 : 访问 控制 规则 ,访问 控制 模型 以 
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及 加 密 机 制 。 

访问 控制 规则 是 用 于 判断 是 否 允 许 用 户 访问 某 类 型 数据 的 规则 与 方法 。 和 常用 的 访问 
控制 规则 有 访问 控制 列表 (Access Control List,ACL) 和 访问 控制 矩阵 (Access Control 
Matrix, ACM) , ACL 可 在 网 络 设 备 接口 处 决定 流量 的 转发 和 阻塞 ,ACM 通过 和 矩阵 形式 
表示 访问 控制 规则 和 授权 用 户 的 权限 。 

访问 控制 模型 是 根据 访问 规则 的 不 同 而 建立 的 不 同系 统 控制 模型 ,主要 分 为 3 种 : 
日 主 访问 控制 (Discretionary Access Control,DAC) .强制 访问 控制 (Mandatory Access 
Control， MAC) 和 基于 角色 的 访问 控制 (Role-Based Access Control, RBAC)。 在 日 主 访 
问 控制 中 ,主体 对 客体 进行 管理 ,由 主体 目 己 决定 是 否 将 客体 访问 权 或 部 分 访问 权 授 予 其 
他 主体 ,代表 模型 有 HRU 模型 ;强制 访问 控制 着 重 保 护 系统 的 机 密 性 , 膛 循 “不 上 谈 > 和 
“不 下 写 ” 两 条 基本 规则 ,实现 强制 存 取 控制 ,防止 具有 融 安 全 级 别 的 信息 流入 低 安 全 级 别 
的 客体 ,主要 模型 有 BLP 模型 ;基于 角色 的 访问 控制 将 权限 与 角色 关联 ,用 户 通 过 成 为 适 
当 角 色 的 成 员 而 得 到 这 个 角色 的 权限 ,主要 模型 有 RBAC96 模型 .RBAC2000 模型 。 不 
同 模型 的 应 用 环境 有 所 不 同 。 例 如 ,DAC 模型 适用 于 云 服 务 提 供 商 提供 的 Web 服务 ， 
RBAC 模型 则 适用 于 非 Web 服务 。 

加 密 机 制 是 指 主体 对 数据 进行 加 窗 , 只 有 能 够 解密 的 客体 才能 对 数据 进行 访问 ,从 而 
实现 对 云 中 存储 的 数据 以 及 主客 体 交 互 的 保护 ,主要 机 制 是 基于 属性 的 加 密 机 制 
(Attribute-Based Encryption, ABE)., 基于 属 性 的 加 蜜 机制 又 被 称 为 模糊 的 基于 身份 的 
加 密 (fuzzy identity-based encryption)。 与 常见 的 公 角 加密 方案 不 同 , ABE 实现 了 一 对 
多 的 加 解密 。 人 瑟 不 需要 像 身 份 加 密 一 样 ,每 次 加 密 都 必须 知道 接收 者 的 号 份 信息 ,在 
ABE 中 ,里 份 标识 补 看 作 一 系列 的 属性 , 当 用 户 拥 有 的 属性 超过 加 密 者 所 摘 述 的 预 设 门 
槛 时 ,用 户 就 可 以 解密 , 即 有 访问 的 权限 。 

云 计 算 环 境 下 的 访问 控制 体系 框架 如 图 7-3 所 示 , 其 中 云 计算 环境 被 分 为 用 户 ( 租 
户 ) ` 云 平台 、 网 络 基础 环境 3 部 分 。 用 户 ( 租 户 ) 和 云 平 台 之 间 通 过 访问 控制 规则 和 访问 
控制 模型 确认 用 户 吴 份 ,保障 数 据 安全 ; 云 平台 和 网 络 基础 环境 采用 访问 控制 规则 ; 云 平 
台中 的 虚拟 机 之 间 采 取 虚 拟 机 访问 控制 拉 术 ;存储 在 云 平台 内 部 的 数据 采用 基于 访问 控 
制 模 型 和 基于 密码 的 访问 控制 技术 实施 访问 控制 ;可 信和 云 平台 计算 和 安全 监控 审计 是 在 
云 环 境 下 玫 助 实施 访问 控制 技术 的 有 效 手 段 。 

随 着 云 计 算 技 术 的 不 断 普 及 与 发 展 ,企业 对 云 计 算 的 依赖 性 不 断 增强 ,选取 有 和 针对 性 的 
访问 控制 拉 术 越 来 越 重 要 。 一 般 来 说 ,企业 在 确定 访问 控制 技术 时 可 从 以 下 3 方面 考虑 : 

(1) 位 置 方 面 。 考虑 用 户 ( 租 户 ) 进 入 云 平台 时 的 访问 控制 策略 ,同时 也 要 考虑 云 平 
人 台 内 部 数据 和 资源 对 于 需求 者 的 访问 控制 以 及 虚拟 机 之 间 的 访问 控制 。 

(2) 规模 方面 。 考 虑 粗 粒 上 度 的 访问 控制 ,在 云 平台 的 大 环境 中 对 物理 资源 和 虚拟 资 
源 进行 访问 控制 ,保护 底层 资源 不 被 破坏 ;同时 考虑 细 粒 度 的 访问 控制 ,保证 云 中 的 数据 、 
信息 流 .记录 等 不 被 恶意 人 员 所 和 客 取 。 

(3) 设计 方面 。 新 的 访问 控制 机 制 对 于 云 计 算 环境 必须 具有 灵活 性 ,支持 多 租户 环 
境 ;可 伸缩 ,可 处 理 成 二 上 万 的 机 右 和 用 户 ; 网 络 独 立 , 压 层 网 络 拓 扑 结 构 、 路 由 和 寻 址 不 
灯 合 。 
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图 7-3 云 计 算 环 境 下 的 访问 控制 体系 框架 
73 安全 防护 指 施 


7.3.1 虚拟 防火 墙 


传统 的 网 络 流量 大 多 经 由 路 由 需 和 交换 机 分 发 ,因此 可 以 对 经 过 路 由 设备 的 流量 过 
行 分 析 与 处 理 , 通 过 可 疑 流 量 判 断 可 疑 行为 。 然 而 , 随 关 虚拟 化 和 云 计算 技术 的 不 断 发 
展 , 大 量 入 侵 流量 只 需 在 物理 机 内 部 的 虚拟 机 间 就 可 完成 人 侵 行为 ,并 不 需要 经 由 外 部 的 
路 由 设备 ,因此 传统 的 防火 场 已 经 不 再 适用 于 虚拟 化 的 云 计 算 环 境 。 此 外 , 当 需 要 防护 的 
业务 服务 硕 和 业务 部 门 规模 庞大 时 ,虽然 可 以 通过 采购 更 多 的 防火 墙 来 解决 ,但 是 将 增加 
网 络 的 复杂 度 和 了 网络 维护 人 员 的 工作 量 。 

为 解决 上 述 问 题 ,虚拟 防火 场 出 现 了 。 虚 拟 防 火场 是 指 将 一 个 防火 场 在 逻辑 上 划分 
成 多 个 虚拟 的 防火 墙 , 每 个 虚拟 防火 墙 系统 都 可 以 被 看 成 一 个 完全 独立 的 防火 墙 设备 , 拥 
有 独立 的 系统 资源 .管理 员 .安全 于 略 .用户 认证 数据 库 等 ,可 以 实现 独立 的 数据 转发 、 内 
容 检测 和 管理 配置 ,拥有 和 物理 防火 场 一 样 全 面 的 安全 防护 功能 。 虚 拟 防 火场 不 需要 对 
现 有 的 网 络 环境 进行 较 大 的 变动 ,可 以 在 不 增加 防火 声效 量 的 前 提 下 ,灵活 地 挫 建 虚拟 环 
境 , 通 过 虚拟 化 统一 管理 平台 实现 多 个 防火 场 的 统一 管理 ,并 实现 各 个 业务 服务 矿 和 业务 
部 门 间 的 安全 隅 离 与 访问 控制 。 

虚拟 防火 墙 方案 由 根 虚 拟 系统 (rootrvsys)、 子 虚拟 系统 (vsys) 以 及 虚拟 系统 接口 
(vgel)3 部 分 组 成 
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(1) 根 虚拟 系统 。 是 系统 默认 的 虚拟 系统 ,不 可 创建 ,不 可 删除 ,拥有 防火 墙 的 所 有 
功能 。 

(2) 子 虚 拟 系统 。 由 根 虚 拟 系统 管理 员 人 刨 建 的 虚拟 系统 都 是 子 虚 拟 系统 。 子 虚拟 系 
统 在 逻辑 上 就 是 一 个 独立 的 防火 墙 ,可 以 进行 独立 的 管理 ,独立 的 配置 等 。 

(3) 虚拟 系统 接口 。 是 各 个 虚拟 系统 耳 接 进行 内 部 通信 和 时 使 用 的 虚拟 接口 。 它 模拟 
了 一 全 内 部 的 虚拟 三 层 交 换 机 ,虚拟 系统 之 间 的 通信 可 以 不 需要 进行 外 部 物理 接口 连接 。 

值得 注意 的 是 ,虚拟 系统 接口 是 由 虚拟 系统 管理 员 创建 的 ,每 个 虚拟 系统 只 能 创建 一 
个 虚拟 系统 接口 ,并 且 虚 拟 系 统管 理 员 只 能 创建 日 己 管 理 的 虚拟 系统 的 虚拟 系统 接口 。 
例如 , 根 虚 拟 系统 root-vsys 的 管理 员 admin 创建 的 虚拟 系统 接口 vgel 属于 根 虚 拟 系统 
root-vsys, 并 且 根 虚拟 系统 root-vsys 只 有 这 一 个 虚拟 系统 接口 ; 子 虚 拟 系统 vsysl 的 管 
理 员 admin_vsysl 创建 的 虚拟 系统 接口 vgel 属于 子 虚 拟 系统 vsysl, 并 且 子 虚拟 系统 
vsysl 只 有 这 一 个 虚拟 系统 接口 。 

虚拟 防火 场 可 以 集成 访问 控制 ,用户 授权 访问 .虚拟 系统 .行为 管理 ,应 用 层 综合 安全 
防护 等 一 系列 网 络 安全 功能 ,可 以 有 效 地 满足 云 计算 环境 下 用 户 对 网 络 边界 隅 离 ,访问 控 
制 .威胁 防护 ,快捷 管理 等 功能 的 需求 ,同时 可 以 为 云 用 户 提供 可 视 化 风险 报表 和 上 月 主 化 
安全 运 维 服务 ,帮助 云 用 户 快速 和 擎 握 业 务 安全 状况 。 最 重要 的 是 ,虚拟 防火 墙 可 以 灵活 、 
快捷 地 部 署 在 公有 云 . 私 有 云 、 混 合 云 等 多 种 云 平 台 上 ,为 各 类 虚拟 化 平台 提供 专业 的 安 
全 防护 能 力 。 


7.3.2 WebShell 防护 


WebShell 是 一 种 通过 Web 服务 病 口 获取 Web 服务 项 的 某 种 操作 权限 的 脚本 程序 ， 
是 以 ASP、JSP 或 PHP 等 网 页 形式 存在 的 一 种 命令 执行 环境 ,也 被 称 为 网 页 后 门 。 正 币 
情况 下 , 运 维 人 员 可 以 通过 WebShell 对 Web 服务 妖 进 行 日 党 的 网 站 管理 ,服务 器 管理 
以 及 系统 上 线 更 新 等 操作 。 但 WebShell 的 存在 同时 也 为 攻击 者 提供 了 攻击 的 方向 , 攻 
击 者 可 以 通过 上 传 WebShell 获得 Web 服务 器 的 管理 权限 ,对 网 站 服务 器 进行 渗透 和 控 
制 。 攻 击 者 在 人 侵 一 个 网 站 后 , 通 稍 会 将 脚本 木马 后 门 文件 放置 在 网 站 服务 郑 的 Web 日 
录 中 ,脚本 木马 后 门 文件 名 通 凋 与 正音 的 文件 名 相似 ,使 得 其 与 正常 的 网 页 文件 混 消 ,之 
后 攻击 者 就 可 以 利用 Web 请 求 的 方式 ,通过 脚本 木马 后 门 控 制 网 站 服务 硕 , 实 现 上 传 下 
载 文件 .查看 数据 库 .执行 任 意 的 程序 命令 等 操作 。 

WebShell 的 隐蔽 性 十 分 强 , 由 于 其 与 被 控制 的 服务 带 或 远程 主机 交换 的 数据 都 是 通 
过 80 端口 传递 的 ,因此 不 会 被 防火 增 拦 稚 。 并 且 使 用 WebShell 一 般 不 会 在 系统 日 志 中 
留 下 记录 ,只 会 在 网 站 的 Web 日 志 中 留 下 一 些 数据 提交 记录 ,没有 经 验 的 管理 员 是 很 难 

出 人 侵 狗 迹 的 。 因 此 针对 WebShell 的 防护 十 分 重要 ,目前 主要 的 防护 措施 是 对 各 类 
后 门 文件 进行 扫描 和 隔离 ,从 文件 特征 、 代 码 特 征 等 多 个 维度 对 已 知 的 WebShell 进行 

第 见 的 WebShell 防护 措施 有 以 下 几 种 : 

(1) 使 用 沙 箱 等 检测 手段 对 多 种 类 型 的 木马 进行 查 杀 

(2) 对 变形 的 一 句 话 后 门 (one-word-backdoor) 等 WebShell ,可 以 通过 代码 还 原 、. 跟 
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踪 关 键 图 数 、 检 测 变量 的 调用 等 操作 来 发 现 , 同 时 对 发 现 的 攻击 行为 进行 拦截 ,以 保证 不 
对 答 主 机 造成 破坏 。 

(3) 利用 机 器 学 习 模 式 , 对 未 知 特征 后 门 进行 自主 学 习 、 自 动 判断 、 处 理 隔离 等 。 

(4) 对 已 发 现 的 WebShell, 可 以 提示 用 户 采 取 上 月 动 清理 .提示 清 理 等 处 理 指 施 , 并 且 
将 所 有 的 WebShell 后 门 样本 辐 管 理 端 上 报 , 让 管理 端 对 这 些 样本 进行 统一 的 汇总 及 分 
类 分 析 处 理 。 


7.3.3 主机 加 固 


随 着 云 计算 的 普及 ,大 量 虚 拟 机 被 应 用 ,虽然 防火 墙 等 各 类 安全 产品 能 提供 外 围 的 安 
全 防护 ,但 并 不 能 真正 彻底 地 消除 隐藏 在 虚拟 机 内 部 的 安全 漏洞 隐患 ,例如 安装 、 配 置 不 
符合 安全 需求 ,参数 配置 错误 ,使 用 、 维 护 不 符合 安全 需求 ,被 注入 木马 程序 ,安全 漏洞 没 
有 及 时 修补 ,应 用 服务 和 应 用 程序 小 用 ,开放 不 必要 的 端口 和 服务 ,等 等 。 如 果 这 些 安全 
漏洞 被 攻击 者 利用 ,不 仅 将 导致 用 户 遭 受 攻击 ,重要 资料 被 窃取 ,用 户 数 据 被 更 改 , 网 站 拒 
绝 服务 ,而 且 还 会 影响 其 他 云 服务 用 户 甚至 整个 云 计算 平台 的 安全 ,因此 , 云 计算 环境 下 
的 主机 加 固 变 得 十 分 重要 。 

主机 加 固 是 指 是 根据 专业 安全 评估 结果 制订 相应 的 主机 加 固 方 案 , 通 过 打 补 丁 、 修 改 
安全 配置 .增加 安全 机 制 等 方法 加 强 主机 的 安全 性 。 云 计算 环境 下 的 主机 加 固 主要 针对 
虚拟 机 ,一般 在 宿主 机 及 云 主机 内 设 定 一 些 检查 项 ,对 发 现 的 不 合 规 项 进行 统一 上 报 , 系 
统 根据 上 报 内 容 给 出 相应 的 操作 建议 ,从 而 保障 云 环境 的 安全 合 规 。 

主机 加 固 包 括 以 下 3 个 具体 环节 ; 

(1) 主机 安全 评估 。 包 括 主机 安全 需求 分 析 、 主 机 安全 状况 评估 和 主机 安全 基线 设 
置 。 主 机 安全 状况 评估 是 利用 专家 经 验 和 漏洞 扫描 技术 .工具 分 别 从 内 部 和 外 部 对 主机 
进行 全 面 评估 ,确认 主机 已 经 存在 或 可 能 存在 的 安全 隐患 。 主 机 安全 基线 的 设置 有 利于 
管理 人 员 对 大 量 虚拟 机 进行 统一 管理 ,其 一 般 流 程 是 : 管理 人 员 扫 描 主 机 客户 端 ;主机 客 
户 端 向 控制 台 上 传 扫描 结果 及 日 志 ; 管 理 人 员 在 控制 台 查 看 扫描 结果 ,并 对 扫描 结果 进行 

(2) 制订 安全 加 固 方案 。 根 据 前 期 的 安全 评估 结果 制订 主机 安全 加 固 方 案 。 

(3) 安全 加 固 实 施 。 根 据 制订 的 加 固 方案 ,对 主机 进行 安全 加 固 与 修复 ,并 将 结果 上 
传 至 控制 台 。 在 安全 加 固 完成 后 , 需 对 系统 进行 全 面 测 试 ,确保 安全 加 固 对 系统 业务 无 影 
响 , 并 达到 了 安全 提升 的 目的 。 安 全 加 固 操作 涉及 的 范围 比较 广 , 例 如 正确 地 安装 软件 、 
安装 最 新 的 操作 系统 和 应 用 软件 的 安全 补丁 .操作 系统 和 应 用 软件 的 安全 配置 .主机 安全 
风险 防范 .主机 安全 风险 测试 .主机 完整 性 备份 .主机 账户 口令 加 固 等 。 

7.3.4 虚拟 主机 杀毒 

恶意 可 执行 程序 是 信息 系统 中 最 常见 .最 复杂 .影响 最 广泛 的 威胁 之 一 ,这 些 人 为 恶 
意 构 造 的 程序 往往 利用 计算 机 系统 存在 的 安全 漏洞 获取 对 计算 机 的 某 种 管理 权限 ,从 而 
达到 攻击 者 恶意 的 目的 。 虚 拟 机 和 宿主 机 本 身 都 具有 外 部 接口 ,如 USB 接口 .虚拟 网 卡 
与 宿主 机 物理 网 卡 桥 接 等 ,这 大 大 增加 了 虚拟 机 以 硬件 方式 感染 外 界 木马 .病毒 的 风险 。 

101 


云 计 算 及 云 安 全 


此 外 ,与 传统 计算 环境 相 比 , 云 计 自 环 境 下 的 数据 中 心 更 加 虚拟 化 ,企业 的 大 部 分 应 用 痢 
依赖 于 虚拟 机 环境 ,与 外 界 的 交流 也 更 多 。 攻 击 痢 可 通过 与 外 界 进行 信息 交互 的 应 用 侵入 
虚拟 机 内 部 , 留 下 病毒 侵害 信息 系统 ,造成 资源 池 因 负载 过 高 而 业务 中 断 、 企 业 敏 感 数据 泄 
露 .虚拟 机 逃逸 等 问题 ,或 留 下 后 门 以 供 下 一 次 攻击 ,这 都 将 对 企业 造成 灾难 性 的 后 末 。 

在 这 种 情况 下 , 云 计算 环境 下 的 主机 病毒 查 杀 尤为 重要 。 相 较 于 传统 的 反 病 毒 模式 ， 
云 计算 环境 下 的 病毒 查 杀 由 云端 统一 提供 病毒 特征 库 和 碍 杀 引 车 ,并 且 可 以 利用 云端 提 
供 的 超 强 计算 能 力 对 病毒 特征 进行 快速 分 析 和 提取 ,因此 往往 具备 更 强 的 病毒 防护 能 力 。 
一 般 的 主机 杀毒 软件 采用 的 是 基于 特征 的 扫 拉 技术, 云 计算 环境 下 的 虚拟 主机 杀毒 则 可 
以 在 原 有 的 特征 值 识别 技术 的 基础 上 ,将 反 病 毒 样 本 工程 师 总 结 的 可 疑 程 序 样本 经 验 移 
植 到 反 病 毒 程 序 中 ,根据 反 编 译 后 的 程序 所 调用 的 Win32 函数 的 情况 来 判断 程序 是 否 为 
病毒 或 恶意 软件 ,从 而 达到 防御 未 知 病毒 .恶意 软件 .变形 木马 的 目的 。 

此 外 ,虚拟 主机 杀毒 还 可 以 将 已 经 发 现 的 病毒 样本 积 素 下 来 ,然后 采用 人 工 镶 能 与 机 
筑 学 习 的 方法 ,对 保存 的 病毒 样本 进行 多 次 切片 学 习 , 抽 取出 病毒 与 恶意 代码 的 共性 特 
征 , 建 立 恶 意 代 码 的 不 同族 系 模型 ,形成 病毒 家 族 类 框 染 。 这 种 检测 方式 的 优点 是 不 依赖 
于 菏 一 个 病毒 或 恶意 代 人 码 的 具体 特征 ,而 是 提取 蘑 一 族群 的 恶意 代码 的 共性 特征 。 因 此 ， 
这 种 检测 方法 更 容易 检测 出 菜 一 病毒 ,尤其 是 对 于 伙 意 代 公 族群 内 的 新 生病 毒 具 有 非 生 
强 的 检测 能 力 , 可 以 对 入 侵 虚 拟 主 机 的 病毒 进行 有 效 查 杀 , 从 而 能 在 最 大 程度 上 保护 虚拟 
化 环境 的 安全 可 控 。 


7.4 本 章 小 结 


随 看 云 计算 的 普及 , 云 并 安全 将 成 为 云 服 务 提供 商 和 企业 共同 考虑 的 问题 ,而 不 再 仅 
忆 某 个 企业 目 喘 的 信息 系统 安全 有 六 。 云 计算 操作 系统 的 引入 ,在 优化 传统 网 络 染 构 的 
同时 ,也 市 来 了 新 的 安全 挑战 ,与 云 有 关 的 安全 问题 越 来 越 多 。 由 于 云 计 算 环 境 与 传统 计 
算 环 境 有 所 不 同 ,传统 的 安全 策略 无 法 耳 接 在 云 环 境 中 有 效 执行 , 知 要 新 的 有 效 的 防护 拱 
施 来 保障 云 计算 环境 的 安全 。 

本 草 自 和 完 通 过 介绍 云 计算 操作 系统 的 基本 概念 以 及 基本 染 构 ,引出 云 计 算 环 境 下 的 
主机 安全 问题 。 其 次 对 主机 安全 的 基础 知识 进行 了 转述 ,包括 主机 安全 模型 ,安全 基线 、 
虚拟 安全 设备 以 及 云 安 全 管理 平台 中 的 主机 安全 功能 ,并 详细 介绍 了 主机 安全 面临 的 云 
计算 身份 认证 以 及 云 计 算 访 问 控 制 这 两 大 挑战 。 最 后 介绍 了 4 种 主机 安全 防护 措施 ,分 
别 是 虚拟 防火 墙 WebShell 防护 、 主 机 加 固 以 及 虚拟 主机 杀毒 。 通 过 本 草 的 学 习 , 读 者 能 
够 认识 到 主机 安全 对 于 云 安 全 的 重要 性 ,了 解 痢 见 的 安全 防护 措施 。 


(1) 人 简 述 云 计算 操作 系统 与 传统 操作 系统 的 区 别 。 
(2) 云 计 算 操 作 系 统 框 淋 包 括 哪 几 部 分 ? 简 述 云 计算 操作 系统 所 实现 的 服务 和 
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功能 。 

(3) 主机 安全 模型 包括 哪 两 个 部 分 ? 它们 的 作用 是 什么 ? 

(4) 什么 是 安全 基线 ? 安全 基线 包括 哪儿 个 部 分 ? 

(5) 网 络 中 的 身份 认证 方法 可 以 分 为 哪 3 类 ? 分 别 进行 阐述 ， 

(6) 人 简 述 OpenID 十 OAuth 协议 的 具体 步骤 。 

(7) 什么 是 日 主 访问 控制 模型 ? 什么 是 强制 访问 控制 模型 ? 什么 是 基于 角色 的 访问 
控制 模型 ? 

(8) 简 述 4 种 主机 安全 防护 措施 。 
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第 8 半 
应 用 安全 


8 .1 应 用 软件 安全 


8.1.1 软件 服务 化 概述 


应 用 软件 是 为 满足 用 户 不 同 领 域 . 不 同 问题 的 应 用 需求 而 提供 的 软件 。 其 发 展 共 经 
历 了 4 个 阶段 : 第 一 阶段 是 计算 机 即 软 件 服务 ,这 个 阶段 软件 的 安 疙 和 配置 均 是 由 专业 
人 士 完 成 的 ,大 部 分 软件 只 能 在 单一 的 硬件 平台 运行 ,因此 计算 机 和 软件 间 存 在 一 种 绑 定 
关系 。 第 二 阶段 是 软件 产品 定制 ,为 满足 用 户 日 益 提 高 的 应 用 需求 ,计算 机 生产 厂商 开始 
定制 不 同 功能 的 应 用 程序 ,此 外 ,一 些 为 用 户 提供 软件 定制 化 服务 的 公司 也 开始 出 现 。 第 
三 阶段 是 应 用 服务 提供 商 模式 ,在 该 应 用 模式 下 ,应 用 服务 提供 商 将 用 户 所 需 的 软件 统一 
部 茧 到 用 户 的 软 硬 件 运行 环境 中 ,并 负责 提供 软件 运行 时 所 需 的 应 用 服务 部 以 及 应 用 维 
护 人 员 ,用 户 只 需 通过 网 络 连 接 到 应 用 服务 提供 商 的 服务 着 上 , 束 可 以 运行 所 需 软 件 。 
四 阶段 束 是 本 站 详细 描述 的 软件 服务 化 ,又 称 软件 即 服 务 模式 。 

随 看 互联 网 拉 术 的 快速 发 展 和 云 计 算 拉 术 的 日 益 成 熟 , 一 种 全 新 的 软件 应 用 模 
式 一 一 软件 即 服 务 (Soft as a Service,SaaS) 产 生 并 发 展 起 来 。 在 传统 软件 服务 模式 下 , 软 
件 商 通过 许可 将 软件 产品 部 午 到 企业 内 部 多 个 客户 终端 来 实现 交付 。SaaS 定义 了 一 种 
新 的 交付 方式 ,在 软件 服务 化 的 模式 下 ,服务 提供 商 为 用 户 搭 建 信 息 化 所 需 的 网 络 基 础 设 
施 以 及 软 人 硬件 运行 平台 ,并 负责 前 期 实施 和 后 期 维护 工作 。 例 如 , 当 人 们 需要 使 用 自来水 
的 时 候 , 只 需要 打开 水 龙头 即 可 ,而 不 需要 日 己 去 挖 水 井 、 架 抽水 机 ,净化 水 等 ,这 些 痢 是 
日 来 水 厂 的 事 。 与 传统 软件 服务 模式 相 比 ,SaaS 主要 具有 以 下 特点 : 

(1) 成 本 低廉 。SaaS 将 应 用 软件 部 效 在 统一 的 服务 右上 ,可 以 有 效 减 少 用 户 在 进行 
本 地 部 署 时 所 需 的 大 量 前 期 投入 ,企业 无 须 购 买 服务 需 人 硬件 或 网 络 安全 设备 ,只 要 实现 个 
人 计算 机 和 互联 网 的 连接 即 可 。 

(2) 服务 彻 确 。Saas 应 用 软件 的 主要 运行 环境 绝 大 部 分 都 托管 在 服务 提供 商 的 数 
据 中 心 内 ,因此 系统 的 维护 .升级 工作 主要 由 服务 提供 商 承 担 , 企 业 无 须 配 备 技术 人 员 进 
行 软件 升级 和 维护 。 此 外 ,SaaS 应 用 软件 的 数据 资料 保存 在 云 服务 器 中 ,工作 人 员 在 接 
人 互联 网 的 情况 下 ,可 在 任何 时 间 .任何 地 点 进行 访问 。 

(3) 操作 简单 。SaaS 应 用 软件 作为 新 型 的 企业 管理 应 用 ,其 交互 设计 风格 更 加 贴近 
人 们 现在 的 操作 习惯 。 并 且 SaaS 应 用 软件 在 研发 时 就 考虑 了 与 传统 软件 的 过 渡 问 题 ,以 
方便 没有 信息 专业 基础 的 工作 人 员 操 作 ,节省 工作 时 间 。 


8.1.2 ”应 用 虚拟 化 概述 


应 用 虚拟 化 也 称 应 用 程序 的 虚拟 化 , 它 通过 为 应 用 程序 提供 一 个 虚拟 的 运行 环境 , 包 
括 应 用 程序 的 可 执行 文件 和 虚拟 的 运行 环境 ,使 得 应 用 可 以 在 不 需要 与 用 户 的 文件 系统 
相连 或 借助 任何 设备 驱动 程序 的 情况 下 ,通过 压缩 后 的 可 执行 文件 来 来 运行 ,打破 了 应 用 
程序 ,操作 系统 和 托管 操作 系统 的 硬件 之 间 的 联系 ,能 够 有 效 地 解决 终端 形态 不 同 、 产 品 
升级 困难 、 版 本 不 兼容 等 问题 。 

应 用 虚拟 化 的 主要 思想 是 : 基于 应 用 /服务 器 计算 架构 ,采用 类 似 虚拟 终端 的 技术 ， 
把 应 用 程序 的 人 机 交互 逻辑 (包括 应 用 程序 界面 .键盘 及 鼠标 的 操作 .音频 输入 输出 . 读 卡 
器 ,打印 输出 等 ) 与 计算 逻辑 隔离 开 来 。 当 用 户 需 要 访问 一 个 服务 器 中 虚拟 化 后 的 应 用 
时 ,用 户 计算 机 会 把 人 机 交互 逻辑 传送 到 服务 器 端 ,应 用 程序 的 计算 逻辑 将 在 服务 器 端 为 
用 户 开设 独立 的 会 话 空间 中 运行 ,服务 器 最 后 把 变化 后 的 人 机 交互 逻辑 传送 给 客户 端 ,并 
且 在 客户 端 相 应 设备 上 展示 出 来 。 在 这 个 阶段 中 ,用 户 就 像 运 行 本 地 应 用 程序 一 样 运行 
虚拟 化 的 应 用 程序 。 

应 用 虚拟 化 为 应 用 程序 的 推广 带 来 了 很 多 便利 ,同时 大 大 减少 了 管理 人 员 的 工作 量 。 
在 采用 应 用 虚拟 化 技术 以 前 ,应 用 程序 在 很 大 程度 上 依赖 操作 系统 为 其 提供 的 设备 驱动 
程序 .动态 链接 库 、 内 存 分 配 等 功能 。 且 各 应 用 程序 之 间 存 在 着 复杂 的 依赖 关系 ,系统 或 
其 他 应 用 程序 的 改变 都 可 能 导致 应 用 程序 之 间 不 兼容 ,因此 管理 员 对 应 用 程序 进行 升级 
的 时 候 , 需 要 处 理 每 台 计算 机 上 可 能 出 现 的 各 种 不 兼容 的 情况 。 采 用 应 用 虚拟 化 技术 主 
要 有 以 下 3 个 优点 ， 

(1) 在 需要 对 应 用 程序 进行 升级 时 ,管理 人 员 只 需要 更 新 虚拟 环境 中 的 应 用 程序 副 
本 并 将 其 发 布 出 去 ,应 用 程序 可 以 保证 使 用 正确 版 本 的 文件 和 属性 文件 ,而 不 用 对 操作 系 
统 进行 任何 修改 ,也 不 会 对 其 他 应 用 程序 造成 任何 干扰 。 

(2) 当 多 个 版 本 的 应 用 程序 运行 在 同一 个 操作 系统 实例 上 时 ,系统 也 不 会 发 生 任何 
冲突 ,可 以 加 速 新 特征 的 测试 以 及 整合 到 运行 环境 中 的 过 程 。 

(3) 由 于 应 用 虚拟 化 模式 下 的 应 用 程序 是 从 一 个 中 央 服 务 器 上 下 载 后 运行 在 虚拟 化 
环境 中 ,而 不 是 安装 在 本 地 硬盘 上 ,因此 , 当 用 户 关闭 应 用 程序 后 ,已 经 下 载 的 部 分 会 被 完 
全 删除 ,不 会 有 任何 残留 信息 . 

应 用 程序 虚拟 化 在 应 对 恶意 程序 方面 具有 很 好 的 效果 , 它 可 以 有 效 控制 应 用 的 行为 ， 
随时 对 应 用 程序 状态 进行 归 零 ,防止 系统 受 控 于 未 授权 的 用 户 。 


8.1.3 ”安全 问题 与 防范 措施 


云 计 算 的 普及 为 用 户 和 企业 的 工作 与 生活 带 来 了 很 多 便利 。 然 而 ,与 此 同时 ,各 类 云 
安全 问题 也 相继 出 现 。 无 论 是 部 署 在 互联 网 上 的 公有 云 ,还 是 部 署 在 企业 内 部 的 私有 云 ， 
都 面临 非法 入 侵 流量 监听 、 分 布 式 拒绝 服务 (DDoS) 攻 击 等 安全 问题 。 在 云 计 算 应 用 程 
序 中 ,服务 需 闪 的 软 便 件 资源 经 第 会 被 应 用 程序 实例 所 共享 ,如 采 一 个 用 户 进行 个 性 化 设 
置 , 其 他 租户 的 服务 有 可 能 会 受到 一 定 的 影响 。 此 外 ,用户 通 过 网 络 访问 并 使 用 位 于 云端 
的 数据 和 应 用 资源 ,多 个 用 户 的 敏感 数据 可 能 存储 在 同一 台 服 务 器 或 存储 设备 中 ,共存 于 
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同一 台 物 理 机 上 的 虚拟 机 实例 或 同一 个 虚拟 机 上 的 应 用 程序 实例 可 能 会 相互 渗透 ,一 旦 
一 台 服 务 占 或 虚拟 机 被 攻克 ,将 造成 多 家 企业 的 重要 数据 被 鳃 取 、 服 务 中 断 等 严重 的 后 
果 , 影 啊 程 度 深 ,波及 范围 广 。 因 此 ,确保 各 租户 间 应 用 程序 环境 的 隔离 以 及 数据 的 隔离 
变 得 十 分 重要 。 

为 了 应 对 上 述 安 全 问题 ,有 效 地 控制 和 解决 云 计算 应 用 软件 的 安全 问题 ,应 采取 以 下 
4 种 防护 措施 : 

(1) 增加 微服 务 的 使 用 。 在 云 计 算 中 ,更 容易 将 不 同 的 服务 隅 离 到 不 同 的 服务 硕 中 。 
原因 如 下 : 一 方面 ,不 再 需要 最 大 化 地 利用 物理 服务 融 ; 邦 一 方面 ,即使 在 使 用 较 小 的 计 
算 机 节点 来 处 理 负载 时 ,自动 伸缩 组 也 可 以 确保 应 用 程序 的 可 伸缩 性 。 每 个 节点 都 做 得 
更 少 , 因 此 更 容易 锁定 并 最 小 化 运行 于 其 上 的 服务 。 虽 然 正常 情况 下 这 提高 了 每 个 负载 
的 安全 性 ,但 为 了 确保 所 有 微服 务 之 间 的 通信 ,确保 任何 服务 代理 .调度 和 路 由 都 是 安全 
配置 的 ,也 确实 增加 了 一 些 开 销 。 

(2) 进行 数据 加 密 和 隔离 。 在 云 计 算 环 境 下 ,各 类 云 技术 不 断 引 入 ,应 用 数据 的 安全 
性 显得 尤为 重要 。 数 据 安全 性 可 以 从 传输 和 存储 两 个 方面 来 考虑 。 在 数据 传输 方面 ,可 
以 采用 虚拟 专用 网 络 (VPN) 加 密 .安全 套 接 层 (SSL) 加 密 等 技术 来 保护 应 用 数据 的 安全 
在 数据 存储 方面 ,为 避免 非 授权 的 交叉 访问 ,必须 对 不 同 用 户 间 的 数据 进行 隔离 ,同时 应 
文 持 后 台数 据 的 完整 性 检查 ,并 提供 定时 备份 和 容 灾 恢复 功能 ，。 

(3) 实行 综合 监控 。 针 对 误 用 和 恶意 攻击 ,可 以 使 用 综合 监控 进行 安全 防护 ,包括 会 
话 上 映射 技术 千 能 审计 技术 .日志 记录 和 生产 安全 报告 ,分 别 规范 用 户 和 管理 员 行 为 。 其 
中 ,使 用 会 话 映 射 技 术 ,实现 指定 用 户 会 话 的 实时 复制 和 显示 ,从 而 进行 故障 排除 和 用 户 
活动 监视 ;使 用 智能 审计 技术 录制 用 户 访问 在 线 应 用 时 的 屏幕 活动 ,并 对 其 进行 分 析 , 有 
助 于 规范 用 户 行为 ;使 用 日 志 记 录 保 存 应 用 虚拟 化 服务 器 的 配置 更 改 , 有 助 于 规范 管理 员 
的 操作 行为 ;使 用 生产 安全 报告 体现 用 户 活 动 的 状态 以 及 趋势 ,有 助 于 改进 安全 策略 的 
部 署 。 

(4) 采用 PaaS 和 无 服务 器 体系 结构 。 通 过 平台 即 服务 (PaaS) 和 无 服务 右 设 置 , 即 直 
接 在 云 服 务 提供 商 的 平台 上 运行 负载 ,而 不 用 管理 底层 服务 和 操作 系统 ,可 以 有 效 降低 攻 
击 面 。 对 于 云 服 务 提 供 商 来 说 ,有 很 大 的 经 济 动力 来 维持 极 高 的 安全 级 别 ,并 保持 他 们 的 
环境 更 新 ;对 于 用 户 来 说 ,无 服务 恬 平 台 在 云 服 务 提供 商 的 网 络 上 运行 ,通过 API 或 
HTTPS 流量 与 用 户 的 组 件 通 信 , 从 而 消除 了 直接 网 络 攻击 路 径 。 但 值得 注意 的 是 ,只 有 
当 云 服务 提供 商 承 担 平台 /无 服务 带 设 置 的 安全 性 并 满足 要 求 时 , 才 会 使 用 该 体系 结构 。 
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8.2.1 Web 应 用 安全 问题 概述 


日 前 云 部 署 的 应 用 系统 基本 上 都 通过 Web 方式 对 外 提供 服务 ,例如 门户 网 站 、 政 府 

言 息 公开 目录 系统 等 ,用 户 通 常 需要 使 用 Web 浏览 器 来 访问 云 应 用 ,使 用 云端 所 提供 的 

各 种 应 用 服务 ,大 量 Web 数据 存储 在 云端 ,其 中 包含 很 多 企业 和 用 户 的 重要 隐私 数据 。 
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然而 Web 网 站 是 一 种 开放 的 信息 系统 ， 人 例如 SQL 注入 、 跨 站 脚本 攻 
击 .拒绝 服务 (DoS) 攻 击 .中 间 人 攻击 .恶意 程序 攻击 和 网 页 挂 马 等 。 近 年 来 针对 Web 服 
务 器 的 各 种 攻击 手段 也 层出不穷 ， 攻击 者 通过 入 侵 Web 服务 器 客 取 云 平台 数据 库 中 数据 
的 网 络 安全 事件 屡见不鲜 ,因此 保障 Web 安全 是 保障 云 计 算 应 用 安全 的 关键 。 

Web 应 用 系统 安全 漏洞 类 型 众多 。 下 面 人 简要 介绍 云 计 算 环 境 下 Web 应 用 系统 面临 
的 一 些 币 见 安全 风险 。 


1. SQL 注入 

SQL 注入 (SQL injection) 是 Web 应 用 系统 中 最 常见 的 攻击 方式 。SQL 注入 漏洞 主 
要 存在 于 动态 网 站 的 Web 应 用 系统 中 ,攻击 者 将 恶意 的 SQL 语句 插入 表单 的 输入 域 或 
网 页 请 求 的 查询 字符 串 中 ,然后 将 其 提交 给 Web 服务 器 ,如果 Web 应 用 程序 没有 对 用 户 


的 输入 进行 检查 和 过 小 ,在 接收 后 将 攻击 者 的 输入 作为 原始 SQL 碍 询 语句 的 一 部 分 , 则 
会 改变 程序 原始 的 SQL 查询 逻辑 ,从 而 执行 攻击 者 构造 的 SQL 碍 询 语 句 。 利 用 SQL 注 
和 人 漏洞 ,攻击 者 可 从 数据 库 中 获取 敏感 信息 ,在 数据 库 中 添加 数据 库 操 作用 户 , 从 数据 库 
中 导出 文件 ,甚至 获取 数据 库 系 统 的 管理 员 权 限 。SQL 注入 攻击 的 原理 如 图 8-1 所 示 。 
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图 8-1 SQL 注入 攻击 的 原理 


云 问 的 SQL 注入 攻击 具有 如 下 特点 : 

(1) 攻击 隐蔽 。SQL 注入 攻击 通过 用 户 输入 来 构造 新 的 SQL 语句 ,以 获取 信息 和 对 
Web 服务 需 进 行 非 法 操作 的 权限 ,因此 其 操作 与 正 第 的 Web 网 页 访问 没有 区 别 , 非 常 隐 
项 ,一般 的 防火 墙 等 防护 设施 不 会 对 它 进 行 拦 截 或 发 出 警告 。 

(2) 操作 简单 。SQL 注入 攻击 方法 比较 简单 ,攻击 者 无 须 具备 很 多 SQL 注入 攻击 的 
知识 和 技术 ,从 互联 网 下 载 一 些 SQL 注入 软件 工具 ,这 些 工具 基本 都 是 图 形 化 界面 ,使 用 
这 些 工 具 即 可 轻易 地 对 存在 SQL 注入 漏洞 的 Web 网 站 进行 攻击 ,然后 冒 用 网 站 合法 刁 
份 , 回 云端 提出 非法 请 求 。 

(3) 危害 极 大 。SQL 注入 漏洞 的 危害 性 是 显而易见 的 。 如 果 一 个 Web 应 用 系统 遭 
受 SQL 注入 攻击 , 轻 则 Web 网 站 内 容 被 自 改 ,泄露 敏感 信息 ; 重 则 Web 服务 需 被 植 人 木 
马 ,被 攻击 者 所 控制 。 而 Web 网 站 是 访问 云端 资源 的 直接 手段 ,因此 SQL 注入 攻击 的 后 
果 十 分 严重 。 
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2. XSS 攻击 

跨 站 脚本 (Cross Site Scripting,XSS) 攻 击 是 一 种 针对 客户 蹦 训 览 需 的 注 人 攻击 。 与 
SQL 注入 漏洞 不 同 的 是 ,在 XSS 攻击 中 ,攻击 者 将 恶意 脚本 注入 Web 应 用 程序 中 并 不 是 
为 了 攻击 Web 应 用 程序 本 身 , 而 是 将 Web 应 用 程序 作为 攻击 其 他 网 站 的 中 转 站 。 当 其 
他 用 户 访问 被 注入 恶意 脚本 的 Web 应 用 程序 时 ,恶意 脚本 就 会 被 下 载 到 该 用 户 的 浏览 
中 并 运行 ,被 注入 的 恶意 代码 能 够 在 支持 HT MI JavaSeript, Flash. ActiveX、 VBSeript 
等 语言 的 客户 端 浏览 右上 执行 ,造成 主机 上 的 敏感 信息 泄露 、Cookie 被 急 取 、 配 置 被 更 改 
等 后 果 , 从 而 使 攻击 进一步 向 云端 进行 渗透 。 

根据 XSS 漏洞 注入 位 置 和 触发 流程 的 不 同 ,XSS 漏洞 主要 分 为 3 类 ,分 别 是 反射 型 
XSS 漏洞 .存储 型 XSS 漏洞 和 DOM 型 XSS 漏洞 。 

(1) 反射 型 XSS 漏洞 。 也 称 为 永久 型 XSS 漏洞 ,是 目前 最 流行 的 一 种 XSS 漏洞 。 
这 类 漏洞 经 浓 出 现在 服务 需 直 接 使 用 客户 端 提 供 的 数据 (包括 URL 中 的 数据 HTTP 协 
议 头 的 数据 和 HTML 表单 中 的 数据 ) 而 且 没 有 对 数据 进行 无 害 化 处 理 的 情况 下 。 

典型 的 反射 型 XSS 攻击 是 攻击 者 将 攻击 代码 存储 在 客户 端 上 ,而 不 是 存储 在 Web 
服务 器 上 ,攻击 者 将 Web 服务 器 作为 一 个 反射 器 或 中 转 站 ,通过 攻击 代码 的 网 页 发 送 给 
被 攻击 用 户 , 在 用 户 浏 览 句 上 执行 攻击 代码 ,达到 窃取 用 户 的 键盘 记录 、 窃 取 用 户 的 
Cookie、 琅 取 剪贴 概 户 容 、 察 改 网 页 内 容桂 日 的 。 

(2) 存储 型 XSS 漏洞 。 攻 击 的 恶意 脚本 被 存储 在 服务 器 端的 数据 库 或 者 文件 中 。 
在 访问 服务 时 ， 服务 读 取 了 存储 的 内 容 后 触发 恶意 脚本 回 显 ,形成 存储 型 XSS 攻击 。 当 
访问 正常 服务 时 则 可 看 到 被 攻击 的 数据 。 

(3) DOM 型 XSS 漏洞 。DOM 型 XSS 漏洞 又 称 作 本 地 路 站 脚本 漏洞 ,此 类 型 的 漏 
洞 存在 于 页 面 中 客户 端 脚本 自身 。 当 页 面 中 的 JavaScript 代码 访问 了 URL 请 求 参数 ,并 
未 经 编码 便 直 接 使 用 相应 的 参数 信息 在 自身 所 在 的 页 面 中 输出 某 些 HTML 内 容 时 ,就 
有 可 能 出 现 此 类 型 的 器 站 脚本 汤 洞 。 


3. 跨 站 请 求 伪造 攻击 

跨 站 请 求 伪 造 (Cross-Site Request Forgery,CSRE) 是 一 种 对 网 站 的 恶意 利用 。 

听 起 来 像 蜂 站 脚本 (XSS) ,但 它 与 XSS 非常 不 同 ,XSS 利用 站 点 内 的 信任 用 户 ( 受 害 ie 
实施 攻击 ,而 CSRF 通过 伪装 成 来 目 受 信任 用 户 的 请 求 来 利用 受信 任 的 网 站 ,通过 社会 工 
程 学 的 手段 (如 通过 电子 邮件 发 送 一 个 链接 ) 来 串 惑 受害 者 进行 一 些 敏感 性 的 操作 ,如 修 
改 密码 ,修改 E-mail、 转 账 等 ,而 受害 者 毫 不 知情 ，。 

CSRF 攻击 通常 会 利用 目标 站 点 的 身份 验证 机 制 。Web 的 身份 验证 机 制 虽然 可 以 向 
目标 站 点 保证 一 个 请 求 来 自 某 个 用 户 的 浏览 器 ,但 是 无 法 保证 该 请 求 的 确 是 该 用 户 发 出 
的 或 是 经 该 用 户 批准 的 。 例 如 , 采 个 用 户 使 用 浏览 硕 访问 了 受信 任 网 站 A, 并 输入 用 户 名 
和 密码 请 求 登 录 网 站 A, 在 用 户 通过 喘 份 验证 后 ,网 站 A 会 生成 Cookie 信息 并 将 其 返回 
给 用 户 的 浏览 莫 , 此 时 用 户 可 以 成 功 登 录 网 站 A ,并 且 可 以 四 网 站 A 正 稼 发送 请 求 ; 用 户 
在 退出 网 站 A 的 登录 之 前 ,使 用 统一 浏览 硕 访 问 了 网 站 B, 网 站 B 接收 到 该 用 户 的 请 求 
后 向 其 发 送 了 一 些 攻击 性 代码 ,并 且 向 其 发 出 一 个 访问 网 站 A 的 请 求 ; 用 户 的 浏览 器 在 
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收 到 恶意 代码 后 ,会 在 用 户 不 知情 的 情况 下 ,根据 网 站 B 的 请 求 ,携带 着 Cookie 信息 向 网 
站 A 发 出 请 求 ,而 网 站 A 并 不 知道 该 请 求 是 由 网 站 B 发 出 的 ,所 以 会 根据 该 用 户 的 
Cookie 信息 以 该 用 户 的 权限 来 处 理 这 个 请 求 ,从 而 使 得 网 站 B 的 恶意 代码 被 执行 。 

CSRF 攻击 的 破坏 力 取决 于 受害 者 的 权限 。 如 果 受 害 者 只 是 普通 的 用 户 , 则 CSRF 
攻击 仅 会 危害 用 户 的 数据 以 及 少数 功能 ;而 如 果 受 害 者 具有 管理 员 权 限 , 则 一 个 成 功 的 
CSRF 攻击 不 仅 会 威胁 到 Web 网 站 的 安全 ,还 将 对 云端 的 数据 安全 造成 极 大 威胁 . 


4. 文件 上 传 与 下 载 攻击 

文件 上 传 与 下 载 攻 击 是 一 种 对 云端 数据 库 影响 最 大 的 攻击 。 大 部 分 Web 网 站 和 云 
平台 提供 文件 上 传 和 下 载 功 能 ,有 些 文 件 上 传 功能 并 不 严格 限制 用 户 文 件 后 组 及 文件 类 
型 ,导致 攻击 者 癌 一 些 可 通过 Web 访问 的 目录 上 传 任意 HTML、ASP、PHP 等 文件 ,并 能 
够 将 这 些 文 件 传递 给 相应 的 解析 天 ,攻击 者 即 可 在 远程 服务 右上 执行 任意 已 上 传 的 恶意 
脚本 。 

当 系 统 存 在 文件 上 传 漏洞 时 ,攻击 者 可 以 将 病毒 木马、WebShell 及 其 他 恶意 脚本 或 
者 包含 脚本 的 图 片上 传 到 服务 器 ,这 些 文件 将 为 攻击 者 的 后 续 攻 击 提供 便利 。 根 据 具 体 
湄 润 的 差异 ,此 处 上 传 的 脚本 可 以 是 正常 后 级 的 PHP、ASP 以 及 JSP 脚本 ,也 可 以 是 自 改 
后 组 后 的 这 几 类 脚本 。 

与 上 传 对 应 的 是 文件 的 下 载 以 及 由 文件 的 下 载 导 致 的 路 径 过 历 问题 。 虽 然 下 载 漏 洞 
引起 的 危害 没有 上 传 那 么 严重 ,但 是 如 打 文 件 下 载 控制 不 好 ,也 会 导致 服务 融 的 很 多 敏感 
信息 甚至 是 产品 的 源 代 人 码 和 配置 信息 被 泄露 。 例 如 第 见 的 路 径 胃 历 问题 ,在 网 络 上 经 稼 
会 进行 文件 交换 或 者 共享 信息 ,如 果 用 户 只 是 想 共 享 某 个 路 径 下 的 一 个 或 者 几 个 文件 , 当 
系统 使 用 用 户 提 供 的 文件 名 组 成 最 终 的 文件 名 的 一 部 分 或 者 全 部 时 ,就 有 可 能 导致 访问 
指定 文件 夹 以 外 的 文件 来 。 攻 击 者 可 以 使 用 多 个 “..” 导 致 操作 系统 跳 到 限制 路 径 以 外 的 
路 径 甚 至 整个 系统 ,出 现 路 径 遍 历 问 题 。 它 可 以 使 攻击 者 突破 应 用 程序 的 安全 控制 ,泄露 
服务 需 的 敏感 数据 ,包括 配置 文件 .日 志 、 源 代码 ,使 得 攻击 者 可 以 很 容易 地 获得 更 高 权限 
的 信息 。 


5. 弱 口 令 攻 击 

绝口 令 (weak password) 也 称 昼 密码, 即 容 多 破解 的 口令 ,通常 是 简单 的 数 子 组 合 、 键 
盘 上 的 邻近 键 或 用 户 常见 信息 ,例如 123456、abc123、qwerty 等 。 终 端 设备 出 厂 配 置 的 通 
用 密码 等 也 属于 弱 口 令 , 例 如 网 络 设备 出 三 时 设置 的 管理 员 口 令 为 admin, 而 用 户 在 使 用 
的 过 程 中 未 修改 管理 员 的 初始 口令 admin。 在 设备 的 操作 使 用 手册 中 会 介绍 设备 的 用 户 
名 和 初始 口令 ,如 果 用 户 在 使 用 的 过 程 中 不 修改 用 户 的 初始 口令 ,系统 就 极 易 遭受 工具 。 

长 期 以 来 , 弱 口 令 一 直 是 各 项 安全 检查 、 风 险 评估 报告 中 最 常见 的 高 风险 安全 问题 ， 
成 为 攻击 者 控制 系统 的 主要 途径 ,由 于 大 部 分 安全 防护 体系 是 基于 口令 的 ,如 果 口 令 被 破 
解 ,就 意味 着 其 安全 体系 全 面 朋 溃 。 

弱 口 令 汤 洞 有 三 大 特点 : 

(1) 危害 大 。 弱 口令 漏洞 是 目前 最 高 危 的 安全 漏洞 之 一 , 当 系 统 的 管理 员 口 令 是 弱 
口令 时 ,攻击 者 可 利用 管理 员 用 户 的 弱 口 令 进 入 系统 ,从 而 控制 整个 系统 。 
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(2) 易 利 用 。 弱 口令 也 是 最 容易 利用 的 安全 漏洞 之 一 ,攻击 者 只 需要 通过 简单 的 IE 
浏览 絮 或 者 借助 简 单 的 工具 就 能 利用 此 种 类 型 的 汤 洞 。 

(3) 修补 难 。 如 果 管 理 员 的 弱 口 令 被 固化 在 固件 中 , 昼 口令 的 修补 成 本 就 比较 高 ,而 
且 已 经 售 出 的 产品 修改 虹口 令 的 成 本 更 高 。 


8.2.2 ”Web 安全 扫描 与 防护 


安全 扫描 技术 是 一 项 重要 的 网 络 安全 技术 ,其 基本 原理 是 : 采用 模拟 恶意 攻击 者 攻 
击 的 方式 ,对 交换 机 、 服 务 器 .数据库 和 工作 站 中 可 能 存在 的 已 知 安全 漏洞 进行 检测 。 安 
全 扫描 在 Web 安全 中 也 是 一 种 常用 的 检测 手段 ,用 来 查找 Web 应 用 程序 中 是 否 存 在 
SQL 注入 . 蜂 站 脚本 等 安全 漏洞 。 

Web 安全 扫描 技术 的 重点 在 于 安全 扫描 器 的 使 用 。 安 全 扫描 器 是 一 种 实现 了 扫描 
技术 软件 化 .自动 化 的 工具 .也 是 一 种 通过 收集 系统 的 信息 来 自动 检测 Web 应 用 服务 安 
全 性 脆弱 点 的 程序 。 安 全 扫描 器 采用 模拟 攻击 的 形式 对 目标 可 能 存在 的 已 知 安全 汤 洞 进 
行 逐 项 检查 ,并 根据 扫描 结果 为 系统 管理 人 员 提 供 周 密 、 可 靠 的 安全 性 分 析 报 告 。 定 期 使 
用 Web 安全 扫描 技术 ,可 以 帮助 用 户 周期 性 地 检测 应 用 服务 的 安全 性 ,预先 发 现 应 用 服 
务 日 身 潜 在 的 薄弱 环节 ,并 在 漏洞 或 安全 隐患 被 利用 前 及 时 发 现 并 立即 采取 相应 的 补救 
措施 , 防 患 于 未 然 。 

Web 安全 扫描 技术 主要 通过 以 下 两 种 方法 来 检查 Web 应 用 中 是 否 存 在 安全 漏洞 : 

(1) 通过 模拟 亚 意 攻击 者 的 攻击 手法 ,对 目标 应 用 进行 攻击 性 的 安全 漏洞 扫描 ,例如 
测试 弱 口 令 等 。 如 果 模 拟 攻 击 成 功 ,那么 就 说 明 该 Web 应 用 存在 安全 漏洞 。 

(2) 先 对 Web 应 用 进行 妆 口 扫 摘 ,获取 该 应 用 所 涉及 的 相关 病 口 和 问 口 上 的 网 络 服 
务 ,然后 将 这 些 信息 与 漏洞 扫描 系统 所 提供 的 漏洞 库 相 匹配 ,查看 是 否 有 满足 匹配 条 件 的 
漏洞 存在 。 这 种 方式 的 核心 在 于 漏洞 库 是 否 全 面 有 效 , 因 此 漏洞 库 需 要 具备 完整 性 和 时 
效 性 ,如 果 漏 洞 库 信息 不 全 或 得 不 到 即时 的 更 新 ,漏洞 扫描 就 无 法 发 挥 作 用 ,甚至 还 会 误 
导管 理 员 。 这 种 方式 的 常用 方法 有 HTTP 漏洞 扫描 、FTP 漏洞 扫描 和 POP3 漏洞 扫 

检测 到 安全 漏洞 后 ,需要 实施 一 定 的 措施 对 Web 应 用 进行 防护 。 一 般 针 对 安全 事件 
发 生 时 序 进 行 安全 建 模 , 分 别针 对 安全 漏洞 .攻击 手段 以 及 最 终 攻 击 结果 进行 扫描 、 防 护 
与 诊断 。 根 据 安全 事件 发 生 时 序 ,企业 可 以 参考 下 述 方案 采取 防护 措施 : 

(1) 在 事前 ,提供 Web 应 用 漏洞 扫描 功能 ,检测 Web 应 用 程序 中 是 否 存在 SQL 注 
入 . 览 站 脚本 等 安全 漏洞 。 

(2) 在 事 中 ,要 对 黑客 的 人 侵 行为 .SQL 注入 .路 站 脚本 和 路 站 伪造 请 求 等 各 类 Web 
应 用 攻击 以 及 DDoS 攻击 等 进行 有 效 检测 ,并且 在 检测 到 攻击 以 后 要 进行 有 效 阻 断 和 
防护 。 

(3) 在 事后 ,针对 当前 的 安全 热点 问题 ,例如 网 页 里 改 和 网 页 挂 马 , 要 能 提供 诊断 功 
能 ,从 而 降低 安全 风险 ,维护 网 站 的 公信 和 度 。 

具体 来 说 ,在 Web 安全 保护 中 常 采取 以 下 措施 来 保障 Web 应 用 的 安全 : 

(1) HTTP 合 规 性 控制 。Web 应 用 安全 防护 系统 可 以 对 HTTP 协议 包 中 的 各 项 参 
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数 ( 例 如 URL 长 度 .Cookie 长 度 .请 求 行 长 度 和 请 求 头 长 度 等 ) 进 行 合 规 性 控制 ,通过 月 
定义 阔 值 与 参数 访问 控制 相 结合 的 方式 ,对 HTTP 数据 进行 第 一 层 安全 控制 ,在 最 开始 
就 杜绝 非法 数据 包 的 传输 。 

(2) Web 特征 防护 。SQL 注入 . 蜗 站 脚本 攻击 . 疏 虫 .恶意 扫 朱 和 蜂 站 点 伪造 请 求 攻 
击 等 攻击 手段 都 具有 比较 明显 的 攻击 特征 ,Web 应 用 安全 防护 系统 可 以 针对 这 类 攻击 建 
立 相 应 的 特征 库 , 并 根据 特定 的 攻击 字段 自 定义 特征 ,这 样 就 可 以 通过 匹配 的 方式 对 可 能 
出 现 的 攻击 进行 相应 的 处 理 。 

(3) 敏感 信息 检测 。Web 应 用 安全 防护 系统 可 以 提供 对 HTTP 流量 中 的 敏感 信息 
进行 检测 和 保护 的 功能 ,通过 预 置 或 自 定义 的 敏感 信息 库 对 啊 应 内 容 中 的 字段 进行 过 滤 ， 
同时 对 被 检测 到 的 敏感 信息 进行 置换 或 隐藏 防 护 , 从 而 防止 数据 泄露 。 

(4) 弱 密 但 检测 。Web 应 用 安全 防护 系统 可 以 对 弱 口 令 进 行 收 集 并 集成 一 个 虹口 令 
字典 ,同时 该 字典 最 好 还 能 够 支持 自 定 义 弱 口令 库 , 当 攻击 者 采用 对 应 的 弱 口 令 访 问 目标 
URL 时 ,即使 被 防护 的 站 点 存在 弱 口 令 ,安全 防护 系统 也 能 识别 该 操作 并 将 其 拦截 ,从 而 
使 得 该 操作 无 法 继续 进行 。 

(5) 防 蜂 站 请 求 伪 造 。Web 应 用 安全 防护 系统 应 该 要 对 HTTP 请 求 的 来 源 URL 进 
行 严格 的 检查 ,禁止 从 不 受信 任 的 URL 跳 转 至 用 户 服务 器 资源 页 面 , 杜 绝 蜂 站 的 资源 
盗用 。 

(6) 文件 上 传 下 载 防护 。 由 于 网 站 开发 商 的 巩 忽 , 上 传 文件 的 策略 在 很 多 情况 下 都 
不 能 得 到 有 效 控制 ,从 而 导致 木马 和 后 门 也 上 传 到 网 站 上 。 为 解决 这 个 问题 ,Web 应 用 
安全 防护 系统 可 以 通过 策略 的 定制 化 ,有 效 地 对 上 传 文件 的 类 型 和 大 小 进行 控制 ,通过 严 
格 地 对 上 传 文件 进行 控制 ,可 以 有 效 控制 木马 和 后 门 等 难以 解决 的 问题 。 

(7) 不 虫 防 御 。 为 了 应 对 疏 虫 攻击 ,Web 应 用 安全 防护 系统 可 以 依靠 特征 对 疏 虫 的 
行为 进行 识别 。 此 外 ,Web 应 用 安全 防护 系统 还 可 以 通过 暗藏 陷阱 的 方式 对 目标 URL 
进行 包装 , 当 疏 虫 攻击 发 生 时 ,将 会 直接 落 入 陷阱 中 ,无 法 生效 。 

在 实际 的 Web 应 用 安全 防护 中 , 常 将 上 述 多 种 防护 措施 结合 起 来 ,这 样 有 助 于 网 络 
安全 管理 人 员 更 好 地 了 解 各 种 安全 配置 情况 和 应 用 服务 的 运行 情况 ,及 时 发 现 安全 漏洞 
并 能 立即 采取 相应 的 防御 措施 。 


8.2.3 DDoS 攻击 防御 


1. DDoS 攻击 原理 

分 布 式 拒绝 服务 (Distributed Denial of Service,DDoS) 攻 击 是 在 拒绝 服务 (Denial of 
Service,DoS) 攻 击 基 础 之 上 产生 的 一 种 攻击 方式 ,攻击 者 利用 分 布 式 的 客户 病 问 服务 所 
供 者 发 起 大 量 请 求 ,消耗 或 者 长 时 间 占 用 大 量 资 源 ,从 而 使 合法 用 户 无 法 得 到 正常 服务 。 
DDoS 攻击 不 仅 可 以 实现 对 某 个 具体 目标 (如 Web 服务 器 或 DNS 服务 器 ) 的 攻击 ,而 且 
可 以 实现 对 网 络 基 础 设施 (如 路 由 各 等 ) 的 攻击 ,利用 巨大 的 流量 攻击 使 攻击 目标 所 在 的 
互联 网 的 网 络 基础 设施 过 载 ,导致 网 络 性 能 大 幅度 下 降 , 影 啊 网 络 所 承载 的 服务 。 

DDoS 攻击 的 破坏 力 相 当 尺 人 , 它 不 但 会 给 各 类 互联 网 用 户 和 云 服 务 提 供 商 市 来 业 
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务 中 汤 、 系 统 次 痪 等 严重 后 果 , 还 严重 威胁 电信 运营 商 的 基础 设施 。 随 着 云 应 用 的 成 熟 ， 
云 用 户 的 数量 日 益 攀 升 ,攻击 者 可 以 利用 大 量 的 僵尸 主机 发 起 大 规模 的 DDoS 攻击 ,迫使 
一 些 关 键 性 云 服 务 消 耗 大 量 的 系统 资源 ,最终 导致 云 服 务 反 应 变 得 极其 缓慢 或 者 完全 没 
有 反应 ,从 而 终止 服务 。 一 旦 云 应 用 受到 DDoS 攻击 而 停止 服务 ,那么 所 有 的 云 用 户 都 将 
被 波及 ,这 给 云 用 户 以 及 云 服 务 提供 应 商 所 造成 的 损失 相 较 于 传统 的 Web 应 用 将 会 更 难 
估量。 目前 的 DDoS 攻击 逐渐 呈现 出 “发 生 频 率 高 ,持续 时 间 短 ”的 特点 ,有 统计 数据 显 
示 ,持续 1h 以 下 的 DDoS 攻击 占据 了 80% 以 上 。 

与 其 他 攻击 形式 相 比 ,DDoS 攻击 主要 表现 出 以 下 特点 : 

(1) 分 布 式 。 在 DDoS 攻击 中 ,攻击 者 不 再 是 单独 一 人 ,而 是 通过 操控 一 个 精心 组 织 
的 僵尸 网 络 来 发 起 协同 攻击 ,改变 了 传统 的 点 对 点 的 攻击 模式 ,使 攻击 方式 出 现 了 没有 规 
律 的 情况 。 分 布 式 的 特点 不 仅 增强 了 DDoS 攻击 的 威力 ,而 且 加 大 了 抵御 DDoS 攻击 的 
难度 ,这 在 以 往 的 攻击 方法 中 是 比较 少见 的 。 

(2) 使 用 欺骗 技术 ,难以 追 中 。 攻 击 者 在 进行 DDoS 攻击 的 时 候 , 攻 击 效 据 包 都 是 经 
过 伪装 的 , 源 IP 地 址 也 是 伪造 的 ,以 达到 隐蔽 攻击 源头 的 目的 ,这 样 就 很 难 确 定 攻击 的 地 
址 ,在 查找 攻击 源头 时 也 很 困难 ,因此 , 仅 靠 传 统 的 防御 措施 很 难 追 踪 这 种 攻击 。 

(3) 发 起 攻击 容易 。 由 于 现成 的 DDoS 攻击 工具 在 网 络 上 沁 滥 成 灾 , 而 且 多 用 性 不 
断 提 高 ,因此 攻击 者 不 需要 很 深 的 专业 知识 就 可 以 从 网 络 上 下 载 工 具 发 起 攻击 ,这 一 点 从 
现在 的 攻击 者 越 来 越 低龄 化 就 可 见 一 斑 。 

(4) 攻击 特征 不 明显 。 现 在 越 来 越 多 的 DDoS 攻击 采用 合法 的 攻击 请 求 ,这 些 报 文 
没有 明显 的 特征 , 通 稼 使 用 的 也 是 稼 见 的 协议 和 服务 ,这 样 , 只 从 协议 和 服务 的 类 型 上 是 
很 难 对 攻击 进行 区 分 的 ,因此 DDoS 攻击 很 难 被 防御 系统 识别 。 而 且 ,DDos 攻击 的 分 布 
式 特性 也 决定 了 攻击 流 在 攻击 源头 可 以 做 到 很 小 ,可 以 隐藏 在 正常 报 文 流 中 ,不 易 被 较 早 
地 发 现 。 

(5) 威力 强大 ,破坏 严重 ,难以 防御 。DDoS 攻击 由 于 通过 组 织 大 规模 的 僵尸 网 络 发 
起 攻击 ,所 以 经 过 汇聚 后 到 达 受 害 者 的 攻击 流 可 能 非常 庞大 ,造成 目标 主机 的 网 络 或 系统 
资源 耗 尽 ,甚至 还 可 阻塞 防火 端 和 路 由 上 需 等 网 络 设 备 ,进一步 加 重 网 络 拥塞 状况 。 攻 击 者 
可 以 使 用 随机 的 端口 进行 DDoS 攻击 ,通过 数 和 干 端口 回 攻 击 目 标 发 送 大 量 的 数据 包 ; 也 可 
以 使 用 固定 的 端口 进行 DDoS 攻击 ,会 回 同 一 个 端口 发 送 大 量 的 数据 包 。 


2. 常见 的 DDoS 攻击 方式 

下 面 介绍 常见 的 DDoS 攻击 方式 。 

1) SYN Flood 

SYN Flood 是 DDoS 攻击 中 最 经 典 \ 最 有 效 的 一 种 ,直到 现在 ,SYN Flood 攻击 仍然 
是 DDoS 攻击 的 主要 攻击 方式 。 它 利用 传输 控制 协议 (Transmission Control Protocol， 
TCP) 的 扇 陷 ,发 送 大 量 伪 造 的 TCP 连接 请 求 , 从 而 使 得 被 攻击 方 资源 耗 尺 ,最 终 导 人 臻 系 
统 朋 沉 。 

SYN(Synchronous) 是 TCP/IP 建立 连接 时 使 用 的 握手 信号 ,SYN 是 存在 于 TCP 头 
部 的 一 个 同步 比特 字段 ,而 ACK 是 TCP 尖 部 的 一 个 确认 比特 字段 。 在 客户 机 和 服务 融 
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之 间 建 立正 党 的 TCP 网 络 连接 时 ,客户 机 首先 发 出 一 个 SYN 消息 ,服务 顺 使 用 SYN 十 
ACK 应 答 表 示 接 收 到 了 这 个 消息 ,最 后 客户 机 再 以 ACK 消息 啊 应 ， 这 年 在 各 作坊 和 慑 
务 器 之 间 才 能 建立 可 靠 的 TCP 连接 ,数据 才 可 以 在 客户 机 和 服务 器 之 间 传 递 。 上 述 过 程 
称 为 TCP 三 次 握手 机 制 。 

在 TCP 三 次 握手 机 制 中 ,如 果 客 户 端 在 发 送 了 了 SYN 报 文 后 出 现 了 故障 ,那么 服务 器 
在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 问 的 ACK 报 文 的 , 即 第 三 次 握手 无 法 完 
成 。 在 这 种 情况 下 服务 顺 会 重 试 , 癌 客户 端 再 次 发 送 SYN 十 ACK, 并 等待 一 段 时 间 。 如 
果 在 一 定时 间 内 还 是 得 不 到 客户 端的 回应 , 则 服务 器 放弃 这 个 未 完成 的 连接 。 

SYN Flood 攻击 正 是 利用 了 TCP 三 次 握手 机 制 。 攻 击 者 回 目 标 主 机 发 送 大 量 的 
SYN 报 文 请 求 , 当 目标 主机 回应 SYN 十 ACK 报 文 时 ,攻击 者 不 再 继续 回应 ACK 报 文 ， 
导致 日 标 主机 建立 了 大 量 的 半 连 接 。 这 样 ,日 标 主机 的 资源 会 被 这 些 半 连接 耗 尽 ,导致 日 
标 主 机 资源 被 大 量 占 用 面 无 法 释放 ,无 法 再 同 正 常用 户 提 供 服 务 。SYN Flood 攻击 过 程 
如 图 8-2 所 示 ，。 


a 0 
受 控 主机 | 
bd SYN 

[EX 
受 控 主机 __SYNYACK 3 
-a SYN+ACK _— . = 
2 SYN+ACK 目标 主机 

SYN—  -， 

SN 一 一 一 


图 8-2 ”SYN Flood 攻击 过 程 


少量 的 SYN Flood 攻击 会 导致 服务 器 无 法 访问 ,并 且 在 服务 器 上 用 netstat -na 命令 
可 观察 到 大 量 的 SYN_RECEIVED 状态 ;大 量 的 SYN Flood 攻击 会 导致 ping 失败 、 
TCP/IP 栈 失效 ,并 会 出 现 系统 凝固 现象 , 即 不 啊 应 键盘 和 鼠标 。 不 过 SYN Flood 攻击 实 
施 起 来 有 一 定 难 度 ,需要 高 市 宽 的 僵尸 主机 支持 。 

2) UDP Flood 

UDP(User Datagram Protocol, 用 户 数 据 报 协议 ) 是 一 种 面 问 无 连接 的 传输 层 协 议 ， 
其 主要 作用 是 将 网 络 数据 流 压 肌 成 数据 包 的 形式 。 一 个 盟 型 的 数据 包 就 是 一 个 二 进 制 数 
据 的 传输 单位 。 每 一 个 数据 包 的 前 8 个 字 蔬 用 来 包含 报头 信息 ,剩余 字 贡 则 用 来 包含 具 
体 的 传输 数据 。 由 于 UDP 在 传输 数据 之 前 ,客户 痹 和 服务 右 之 间 不 建立 连接 ,不 提供 数 
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据 包 分 组 ,组 沪 , 且 不 能 对 数据 包 进 行 排序 , 当 报 文 发 送 之 后 ,无 法 得 知 其 是 否 安全 完整 到 
达 , 因 此 UDP 主要 用 于 不 要 求 分 组 按 顺 序 到 达 的 传输 ,提供 面 同 事务 的 人 简单、 不 可 徘 信 
县 传输 服务 。 但 由 于 UDP 不 使 用 信息 可 徘 传 递 机 制 , 将 安全 和 排序 等 功能 移交 给 上 层 
应 用 来 完成 , 极 大 地 降低 了 执行 时 间 ,提高 了 传输 速度 ,因此 UDP 广泛 应 用 于 多 媒体 应 
用 中 ,例如 网 络 视 频 会 议 系 统 在 内 的 众多 的 客户 /服务 器 模式 的 网 络 应 用 部 需要 使 
用 UDP。 

UDP 的 广泛 应 用 为 攻击 者 发 动 UDP Flood 攻击 提供 了 平台 。UDP Flood 攻击 属于 
市 宽 类 攻击 ,由 于 UDP 是 无 连接 性 的 ,所 以 只 要 开放 了 一 个 UDP 的 端口 提供 相关 服务 ， 
就 串 针 对 相关 的 服务 进行 攻击 。 在 UDP Flood 攻击 中 ,攻击 者 可 发 送 大 量 伪造 源 IP 地 
址 的 UDP 数据 包 。UDP Flood 攻击 过 程 如 图 8-3 所 示 。 攻 击 者 通过 僵尸 网 络 回 目标 服 
务 器 发 起 大 量 的 UDP 报 文 , 这 种 UDP 报 文通 稼 为 大 包 , 且 速率 非常 快 , 通 稼 会 消耗 网 络 
市 宽 和 资源 ,严重 时 会 造成 链 路 拥塞 ,使 依 徘 会 话 转发 的 网 络 设备 性 能 降低 甚至 会 话 耗 尽 ， 
从 而 导致 网 络 次 痪 。UDP Flood 攻击 发 动人 简单 ,很 多 工具 部 能 够 发 动 UDP Flood 攻击 ， 
如 hping、LOIC 等 ,但 UDP Flood 攻击 完全 依靠 僵尸 网 络 本 里 的 网 络 性 能 ,因此 对 攻击 
目标 市 宽 资 源 的 消耗 并 不 太 大 。 


受 控 主 机 


图 8-3 UDP Flood 攻击 过 程 


3) 刷 Script 脚本 攻击 

刷 Script 脚本 攻击 主要 是 针对 包含 ASP、JSP、PHP、CGI 等 脚本 程序 并 调用 MySQL 
Server、Oracle、SQL Server 等 数据 库 的 网 站 系统 而 设计 的 。 该 攻击 与 服务 需 建 立正 第 的 
TCP 连接 ,并 不 断 地 加 脚本 程序 提交 查询 .列表 等 大 量 耗 费 数据 库 资 源 的 调用 。 

刷 Script 脚本 攻击 是 一 种 比较 典型 的 以 小 搏 大 的 攻击 手法 。 通 常 来 说 ,提交 一 个 
GET 或 POST 指令 占用 的 客户 器 资 源 和 审 宽 几乎 是 可 以 忽略 的 ,而 服务 希 为 处 理 此 请 
求 , 可 能 要 从 上 万 条 记录 中 查询 ,这 个 处 理 过 程 需 要 耗费 大 量 资源 。 篆 见 的 数据 库 服务 器 
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很 少 支 持 数 百 个 查询 命令 的 同时 执行 ,因此 ,攻击 者 只 需 问 服务 嚣 大量 提交 查询 命令 , 数 
分 钟 后 就 会 耗 尽 服务 占 的 资源 而 使 其 拒绝 服务 ,从 而 出 现 PHP 连接 数据 库 失 败 、.ASP 程 
序 失 效 等 现象 。 


3. DDoS 攻击 防御 方式 

DDos 攻击 往往 采取 合法 的 数据 请 求 技 术 , 再 加 上 其 控制 了 大 量 倪 和 倡 主机 ,使 DDoS 
攻击 成 为 日 前 最 难 防 御 的 网 络 攻击 之 一 。 传 统 的 网 络 设 备 和 周边 安全 技术 ,例如 防火 墙 
和 IDS(Intrusion Detection Systems, 人 侵 检 测 系 统 ), 由 于 速率 限制 \ 接 入 限制 年 , 均 无 法 
提供 非常 有 效 的 针对 DDoS 攻击 的 网 络 保护 ,因此 需要 一 个 新 的 体系 结构 和 技术 来 抵御 
复杂 的 DDoS 攻击 。 

目前 常见 的 DDoS 攻击 防御 方式 有 采用 高 性 能 设备 、 保 证 充足 的 市 宽 、 升 级 硬件 设 


备 ,分 布 式 集群 防御 .异常 流量 清洗 、 增 强 操作 系统 的 TCP/IP 栈 等 。 下 面 对 其 中 几 个 防 
护 手段 进行 介绍 。 


(1) 采用 高 性 能 设备 。 为 避免 网 络 设备 成 为 瓶颈 ,应 该 尽量 选用 知名 度 高 且 口 碑 好 
的 变换 机 、 路 由 兹 以 及 人 硬件 防火 墙 等 。 男 外 ,还 应 尽量 和 网 络 服务 提供 商 建 立 特 殊 关 系 和 
协议 , 当 大 量 攻 击发 生 时 ,就 可 以 请 网 络 服务 提供 商 在 网 络 接点 处 进行 流量 限制 ,以 抵抗 
DDoS 攻击 。 

(2) 保证 充足 的 带宽 。 网 络 带宽 直接 决定 了 抗 DDoS 攻击 的 能 力 , 因 此 要 尽量 保证 
斋 宽 的 充足 。 

(3) 升级 硬件 设备 。 在 网 络 带宽 得 到 保证 的 情况 下 ,应 该 尽量 提升 硬件 的 配置 ,并 且 
优化 资源 的 使 用 ,提高 Web 服务 器 的 负载 能 力 。 

(4) 异常 流量 清洗 。 利 用 DDoS 硬件 防火 墙 对 异常 流量 进行 清洗 ,通过 数据 包 的 规 
则 过 滤 .数据 流 指 纹 检 测 过 滤 .数据 包 内 容 定制 过 滤 等 技术 对 外 来 访问 流量 的 正常 与 否 作 
出 准确 的 判断 ,从 而 能 够 有 效 地 阻挡 异常 流量 。 

为 有 效 防 御 DDoS 攻击 , Web 应 用 防护 系统 的 防 DDoS 攻击 模块 可 以 采用 主动 监测 
和 被 动 跟踪 相互 结合 的 防护 技术 ,并 启动 特有 的 阻 断 功 能 ,这 样 就 能 够 有 效 识 别 多 种 
DDoS 攻击 ,并 能 高 效 地 完成 对 DDoS 攻击 的 过 滤 和 防御 。 

针对 互联 网 中 常见 的 DDoS 攻击 手段 ,Web 应 用 防护 系统 的 防 DDoS 攻击 模块 可 以 
提供 针对 多 种 DDoS 攻击 的 防御 能 力 , 例 如 SYN-UDP-ICMP Flood 防御 、TCP-UDP- 
ICMP 流量 管理 ,各 种 常见 网 络 层 攻击 防御 .Xml DDoS 防御 .CC(Challenge Collapsar, 挑 
战 黑洞 ) 攻 击 防 御 、 客 户 / 服 务 器 连接 数 限制 ,基于 每 台 服务 器 的 DDoS 管理 等 。 通 过 将 这 
些 防 御 手 段 相 结 合 , 可 以 有 效 地 阻 断 各 种 攻击 行为 ,从 而 确保 服务 右 可 以 正常 提供 服务 。 

8.2.4 ”网 页 防 算 改 

随 着 云 计算 的 普及 ,人 们 需要 通过 浏览 器 和 APP 等 客户 端 访问 云 计 算 平台 以 完成 信 
息 检 索 和 网 上 办 公 等 行为 。 但 与 此 同时 ,各 种 网 站 安全 问题 也 随 之 而 来 ,网 页 壬 改 就 是 针 
对 Web 网 站 的 危害 性 极 大 的 攻击 方法 之 一 。 

网 页 算 改 是 一 种 通过 恶意 破坏 或 更 改 网 页 内 容 导 致 网 站 无 法 正常 工作 的 攻击 行为 。 
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攻击 者 利用 网 站 狂 洞 破坏 和 佬 改 网 页 信息 ,不 仅 给 网 页 所 在 组 织 机 构 市 来 重大 的 经 济 损 
失 ,还 会 知 成 恶劣 的 社会 影响 。 一 些 攻击 者 利用 假冒 页 面 模仿 知名 网 站 ,误导 用 户 输入 ， 
用 户 的 用 户 名 和 口令 等 信息 ,以 徊 取 用 户 隐 私 ,或 以 此 为 跳板 , 影 响 更 大 的 范围 ,获得 更 多 
的 攻击 成 采 。 有 的 攻击 痢 在 Web 服务 郑 的 网 页 中 插 人 木马 程序 以 感染 访问 者 的 计算 机 ， 
导致 访问 痢 的 计算 机 系统 朋 溃 ,数据 损坏 和 银行 账户 被 盗 等 严重 后 采 。 

网 页 防 复 改 是 一 种 防止 攻击 者 修改 Web 网 页 的 技术 ,可 以 有 效 地 阻止 攻击 者 对 
Web 网 页 进行 恶意 秘 改 。 然 而 网 络 操作 系统 的 复杂 性 、 网 络 结构 的 多 样 性 以 及 各 类 网 站 
的 不 规 施 性 ,使 得 目前 仍 没 有 形成 一 种 长 期 有 效 的 网 页 防 眶 改 方法 。 

目前 常用 的 网 页 防暑 改 扩 术 主 要 有 时 间 轮 询 技术 ,核心 内 舱 技 术 .事件 触发 技术 和 文 
件 夹 驱 动 级 保护 技术 。 


1. 时 间 轮 询 技 术 

时 间 轮 询 技术 使 用 网 员 检 测 程序 以 轮 询 扫 描 的 方式 监控 网 页 ,并 将 被 监控 的 网 页 与 
正确 网 页 相 比较 , 以 判断 网 页 内 容 的 真实 性 和 完整 性 , 知 网 页 被 算 改 , 则 立即 进行 报警 和 
恢复 。 采 用 时 间 轮 询 技 术 的 网 页 防 算 改 系统 部 署 实 现 商 单 , 但 由 于 每 个 网 页 轮 询 扫 摘 都 
存在 一 定 的 时 间 间 隅 ,攻击 者 可 以 在 这 个 时 间 间 隅 中 发 动 攻击 ,导致 用 户 访 问 到 的 是 被 自 
改 的 网 员 。 另 外 ,时 间 轮 询 需 要 从 外 部 不 断 扫 拉 Web 服务 需 文 件 ,这 会 增加 Web 服务 天 
的 负载 ,并 且 由 于 扫 摘 频 度 (以 及 安全 程度 ) 和 负载 总 是 矛盾 的 ,因此 Web 服务 器 的 安全 
程度 也 会 降低 。 

这 种 拉 术 存在 一 个 很 大 的 弊端 , 那 承 是 轮 询 扫描 的 时 间 间 隔 。 出 于 系统 性 能 的 考虑 ， 
轮 询 的 时 间 间 隔 一 般 被 设置 为 10min, 这 意味 看 一 旦 算 改 事件 发 生 在 某 次 轮 询 之 后 ,那么 
将 要 在 数 分 钟 后 的 扫描 中 才能 被 发 现 , 而 在 这 期 间 将 可 能 有 访客 访问 了 这 些 遭 党 算 改 的 
网 页 ,一 些 流 量 大 的 网 页 在 数 分 钟 内 甚至 可 能 会 使 上 干 万 的 访客 遭受 损失 。 因 此 , 当 网 站 
的 规模 较 小 、 网 站 中 包含 的 网 页 较 少 的 情况 下 ,可 以 使 用 时 间 轮 询 技 术 防 止 网 页 被 算 改 ; 
但 当 网 站 规模 较 大 、 网 站 的 网 页 特别 多 的 情况 下 ,使 用 时 间 轮 询 技 术 所 需 轮 询 检 测 时 间 较 
长 , 且 占 用 系统 资源 较 大 ,因此 这 种 技术 逐渐 被 淘汰 。 


2. 核心 内 瞬 扩 术 

核心 内 骸 技 术 又 称 密 码 水 印 技 术 , 它 将 算 改 检测 模块 内 鹃 在 Web 服务 带 里 , 先 将 网 
页 内 容 采 取 非 对 称 加 密 方 式 存 放 ( 非 对 称 加 密 算 法 需要 两 个 密 钥 一 一 公 铀 和 私 钥 来 进行 
加 密 和 人 解密 ,更 加 安全 ), 当 用 户 请 求 访问 网 页 时 ,Web 服务 器 对 已 经 过 加 密 验 证 的 网 页 
内 容 进行 解密 再 对 外 发 布 , 若 网 页 未 经 过 验证 , 则 拒绝 对 外 发 布 。 此 技术 通常 结合 事件 触 
发 机 制 对 文件 的 部 分 属性 进行 对 比 , 如 文件 大 小 、 页 面 生成 时 间 等 。 

核心 内 髓 技术 以 无 进程 、 算 改 网 页 无 法 流出 ,使 用 密码 学 算法 作为 支撑 而 著称 ,在 服 
务 紫 正式 提交 网 页 内 容 给 用 户 之 前 对 网 页 进行 完整 性 检查 ,对 于 已 被 算 改 的 网 页 进行 实 
时 访问 阻 断 ,并 予以 报警 和 恢复 。 其 原理 是 : 对 每 一 个 流出 的 网 页 进行 数字 水 印 ( 也 就 是 
散 列 ) 检 查 ,如 果 发 现 当 前 水 印 和 之 前 记录 的 水 印 不 同 , 则 可 上 断定 该 文件 被 算 改 , 即 阻止 其 
继续 流出 ,并 运行 恢复 程序 进行 恢复 。 这 样 ,即使 攻击 者 通过 各 种 各 样 未 知 的 手段 算 改 了 
网 页 文件 ,被 算 改 的 网 页 文件 也 无 法 流出 服务 器 ,被 公众 访问 到 。 
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3. 事件 触发 技术 

事件 触发 技术 是 目前 主流 的 网 页 防 算 改 技术 之 一 ,也 是 服务 器 负载 最 小 ob 
技术 ,经 党 和 前 面 介绍 的 两 种 技术 结合 起 来 使 用 。 该 技术 以 稳定 、 可 徘 、 占 用 资源 少 而 
称 。 其 原理 是 ， 通过 监控 网 站 目录 ， baleen artiiotietnrd nina dnp 
进行 合法 性 检查 ,根据 规则 判定 此 次 修改 是 否 是 非法 算 改 ,如 果 是 非法 算 改 , 则 立即 进行 
报警 和 恢复 。 

可 以 看 出 ,该 技术 是 典型 的 “后 发 制 人 ”, 即 非法 算 改 已 经 发 生 后 才 可 进行 恢复 。 如 果 
攻击 者 采取 “连续 算 改 ”的 攻击 方式 , 则 网 页 很 可 能 一 了 无 法 恢复 ， RY 
改 的 网 页 。 因 为 只 有 咎 改 发 生 后 , 防 算 改 程序 才 尝 试 进行 恢复 ,这 里 有 一 个 系统 延迟 的 时 
间 间 隔 ,而 te ,攻击 是 对 一 个 文件 进行 每 秒 上 千 次 的 自 改 , 这 梓 ,文件 恢复 的 速度 
永远 也 赶不上 “连续 算 改 ”的 速度 。 


4. 文件 夹 驱 动 级 保护 拉 术 
文件 夹 驱 动 级 保护 技术 是 随 着 你 密 系 统 诞生 的 , 它 最 初 应 用 于 保密 程度 较 高 的 军 方 保 
密 系 统 , 主 要 提供 文件 保护 和 审核 的 功能 ,后 来 逐渐 应 用 到 网 页 保护 当中 。 文 件 夹 过 小 驱 动 
技术 的 原理 是 : 将 防 扯 改 监控 的 核心 程序 和 文件 抵 层 驱动 拉 术 应 用 到 Web 服务 硕 中 ,并 使 
用 时 间 触 发 的 方式 对 网 页 进行 目 动 监控 ,一 旦 发 现 抵 层 文 件 遭 到 得 改 ,人 它 就 会 通过 非 协 议 的 
方式 和 内 置 的 散 列 快速 算法 ,将 安全 文件 的 备份 复制 到 检测 的 网 页 中 ,而 从 发 现 网 页 被 蝎 改 
到 通过 复制 恢复 网 页 这 整个 过 程 的 时 间 往 往 很 短 ,用 户 基 本 上 看 不 到 被 修改 的 网 页 。 


8 3 本 章 小 结 


互联 网 技术 以 及 软件 技术 的 不 断 发 展 , 用 户 对 软件 需求 的 不 断 提高 ,都 有 力 地 推动 了 
云 计 算 环 境 下 应 用 软件 的 发 展 , 云 计算 模式 下 的 应 用 软件 借助 互联 网 实现 了 将 数据 处 理 
从 个 人 计算 机 转移 到 云 计算 服 务 集群 。 然 而 , 云 计 算 环 境 下 部 署 的 应 用 系统 基本 上 都 是 
通过 Web 方式 对 外 提供 服务 的 , 云 在 提升 应 用 软件 运行 效率 的 同时 ,也 带 了 许多 新 的 安 
全 威胁 。 

本 章 首 先 介 绍 了 应 用 软件 的 发 展 历程 ,特别 对 软件 服务 化 和 应 用 虚拟 化 技术 进行 了 
详细 逆 述 。 其 次 分 析 了 应 用 软件 中 的 常见 安全 威胁 ,并 总 结 了 4 种 防范 措施 ,分 别 为 增加 
微服 务 的 使 用 、 进 行 数 据 加 密 和 隔离 ,实行 综合 监控 以 及 利用 PaaS 和 无 服务 着 体系 续 
构 。 最 后 介绍 了 云 计 算 环 境 下 Web 应 用 面临 的 篆 见 安全 风险 ,并 提出 了 对 应 的 Web 安 
全 防护 措施 ,包括 Web 安全 扫描 、DDoS 攻击 防御 以 及 网 页 防 算 改 。 


(1) 应 用 软件 的 发 展 经 历 了 哪 4 个 阶段 ? 
(2) 简 述 应 用 虚拟 化 技术 面临 的 3 个 安全 威胁 。 
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(3) 简 述 4 种 针对 应 用 虚拟 化 安全 威胁 的 防护 措施 。 

(4) 跨 站 脚本 攻击 通常 可 分 为 哪 3 种 方式 ”请 分 别 进行 阐述 。 

(5) Web 安全 漏洞 扫描 技术 主要 是 通过 哪 两 种 方式 检查 Web 应 用 中 存在 的 安全 漏 
洞 ? 请 分 别 曾 述 其 工作 方式 。 

(6) 什么 是 分 布 式 拒 绝 服 务 攻 击 ? 

(7) 简 述 4 种 常见 的 DDoS 攻击 防御 手段 。 

(8) 简 述 事件 触发 技术 和 文件 夹 驱动 级 保护 技术 的 原理 。 
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第 9 将 
”数据 安全 


9.1 数据 安全 问题 分 析 


随 看 云 计算 的 市 场 规 模 和 用 户 量 持 续 扩 大 , 云 计算 已 经 成 为 信息 系统 的 主要 淋 构 方 
式 , 越 来 越 多 的 企业 将 应 用 和 数据 上 传 到 云 问 ,海量 信息 在 云 病 存储 与 共 圣 。 这 些 数 据 里 
包含 春 大量 用 户 隐 私信 息 和 企业 机 蜜 信息 ,一 旦 被 攻击 者 恶意 辐 取 并 利用 ,将 对 企业 发 展 
造成 严重 的 经 济 和 战略 影响 ,因此 ,人 们 越 来 越 关 注 云 数据 的 安全 问题 。 

根据 数据 生存 的 时 间 轴 , 云 数据 的 生命 周期 可 以 划分 为 6 个 阶段 ,如 图 9-1 所 示 。 云 
数据 在 生命 周期 的 各 个 阶段 面临 着 不 同 的 安全 问题 。 


图 9-1 云 数据 生命 周期 


(1) 数据 生成 阶段 。 在 该 阶段 ,数据 刚 被 数据 所 有 痢 创 建 , 且 还 未 被 存储 到 云端 。 数 
据 的 所 有 者 为 了 应 对 云 闪 的 不 可 信 问 题 , 需 要 在 数据 存储 之 前 对 数据 进行 一 些 预 处 理 , 由 
于 这 些 数 据 通 和 并 是 海量 的 ,因此 数据 所 有 者 需要 考虑 预 处 理 的 时 间 开 销 、 计 算 开 销 以 及 存 
储 开 销 ,否则 可 能 会 因 过 度 追 求 安 全 性 而 失去 云 计算 市 来 的 便捷 性 。 

(2) 数据 存储 阶段 。 在 该 阶段 ,用 户 数 据 锌 存储 在 云 问 。 用 户 并 不 确定 数据 存储 在 
云 服 务 提 供 商 的 哪些 服务 顺 中 ,也 无 法 得 知 数 据 的 具体 位 置 , 即 数据 人 存储 的 位 置 并 不 确 
定 。 本 阶段 的 安全 隐患 主要 有 两 点 : 一 是 不 同 用 户 的 各 类 数据 混合 存储 在 云 并 ,如 来 云 
服务 提供 商 没 能 采用 有 效 的 阳 离 策 略 , 可 能 会 导致 用 户 的 敏感 数据 锌 非法 鳃 取 ; 二 是 云 服 
务 可 能 会 被 病毒 破坏 ,或 遭受 木马 人 侵 ,或 遭受 目 然 灾害 等 不 可 抗 逆 因 系 , 这 些 客 可 能 会 
造成 用 户 数据 的 丢失 或 伐 改 , 磊 重 威胁 数据 的 机 蜜 性、 完整 性 和 可 用 性 。 

(3) 数据 使 用 阶段 。 在 该 阶段 ,用 户 访问 云端 的 数据 ,并 可 能 对 数据 进行 增删 、 改 等 
操作 。 用 户 一 般 通 过 网 络 来 访问 云端 的 数据 , 右 传 输 通 道 不 安全 ,数据 束 可 能 会 被 非法 午 
取 或 拦截 。 态 外 ,如 采 云 服务 提供 商 制定 的 访问 控制 案 略 不 合理 或 不 全 面 , 则 可 能 造成 合 
法 用 户 无 法 正常 访问 目 己 的 数据 ,也 可 能 会 造成 未 授权 的 用 户 非 法 访问 或 甸 取 用 户 的 

(4) 数据 共 至 阶段 。 该 阶段 是 指 在 不 同 地 方 使 用 不 同 终 病 或 不 同 软 件 的 云 用 户 能 够 
读 取 他 人 的 数据 并 进行 各 种 运算 和 分 析 。 在 该 阶段 中 ,不 同 云 数据 的 数据 内 容 、 格 式 和 质 
量 干 差 万 别 , 而 数据 共 圣 时 可 能 秆 要 对 数据 进行 格式 转换 ,数据 在 转换 格式 时 可 能 会 面临 


云 计 算 及 云 安 全 


数据 丢失 的 风险 。 态 外 ,数据 共 且 一般 是 通过 东 个 特定 的 应 用 实现 的 ,如 条 应 用 存在 安全 
漏洞 , 则 可 能 会 导致 效 据 泄露 或 丢失 。 

(5) 数据 归档 阶段 。 在 该 阶段 ,将 不 再 经 党 使 用 的 数据 移 到 一 个 单独 的 存储 设备 长 
期 保存 。 在 该 阶段 , 云 数 据 主要 面临 着 法律 和 合 规 性 方面 的 问题 ,因为 一 些 特殊 数据 对 归 
档 所 用 的 介 奈 和 归档 的 时 间 期 限 可 能 有 特殊 规定 ,而 云 服 务 提 供 商 不 一 定 文 持 这 些 规定 ， 
因此 可 能 会 造成 这 些 数 据 不 能 合 规 地 进行 归档 。 

(6) 数据 销毁 阶段 。 在 该 阶段 ,将 不 册 使 用 的 云 数 据 销毁 。 在 云 环境 下 ,用 户 如 采 要 
删除 东 些 云 数 据 ,一般 是 问 云 服务 提供 商 发 送 删 际 命 令 , 由 云 服务 提供 商 删 际 对 应 的 数 
据 。 然 而 , 云 服 务 提 供 商 并 不 可 信 ,用户 无 法 确定 提供 商 是 否 贞 正 执行 了 删除 命令 ,万 外 ， 
云 服 务 提 供 商 可 能 保留 被 删除 数据 的 多 个 备份 ,这 些 都 使 得 数据 无 法 真正 和 被 删 除 。 

云 环 境 下 的 数据 直接 关系 看 用 户 的 个 人 隐私 、 企 业 的 商业 秘密 和 国家 的 国防 安全 , 因 
此 需要 重点 关注 云 数 据 安 全 。 保 护 云 数据 的 安全 ,主要 是 你 护 数 据 的 几 个 安全 属性 : 机 
蜜 性 、 完整 性 和 可 用 性 ,同时 还 应 该 对 数据 的 整个 生命 周期 进行 保护 。 其 中 ,机 密 性 指 的 
是 数据 被 安全 方便 .透明 地 使 用 的 特性 ;完整 性 指 的 是 数据 在 传送 过 程 中 没有 被 非法 用 
尸 通 过 添 加 、 删 除 、 蔡 换 等 操作 破坏 或 丢失 的 特性 ;可 用 性 指 的 是 数据 可 馈 授权 实体 访问 
并 按 需 求 使 用 的 特性 。 下面 将 具体 介绍 数据 加 密 、 数 据 容 灾 与 备份 等 云 数据 安全 你 护 
措施 。 


9g 2 数据 加 密 及 密 文 计 算 


数据 加 密 是 目前 用 于 你 护 数 据 的 最 次 过 的 方法 , 它 是 用 攻 种 特殊 的 算法 改变 原 有 的 
信息 ,使 其 不 可 读 或 无 意义 ,即使 未 授权 用 户 获 得 了 加 密 后 的 信息 ,也 会 因 不 知 如 何 解密 
而 无 法 了 解 信息 的 内 容 。 数 据 加 密 建 立 在 对 信息 进行 数学 编 馈 和 解码 的 基础 上 ,是 保障 
数据 机 蜜 性 最 帝 用 且 最 有 效 的 一 种 方法 。 下 面 详细 介绍 传统 加 密 手 段 、 同 态 加 密 手 段 以 
及 安全 多 方 计 算 。 


9.2.1 传统 加 密 手 段 


蜜 但 学 中 有 两 个 基本 概念 ,分 别 是 加 密 / 解 密 和 密 钥 ,其 中 密 钥 是 在 将 明文 苇 换 为 密 
文 或 将 密 文 转换 为 明文 的 算法 中 输入 的 参数 ,如 采 对 同一 个 明文 采用 不 同 的 密 钥 进行 加 
密 ,将 会 得 到 不 同 的 密 文 。 根 据 密 码 体 制 使 用 的 密 钥 ,可 以 将 加 密 方 法 分 为 对 称 密 钥 加 密 
和 非 对 称 密 钥 加 密 。 

对 称 密 钥 加 密 又 称 私 钥 加 密 ,通信 双方 使 用 同一 个 密 钥 进行 加 密 和 解密 ,其 特点 是 自 
法 公开. 计算 量 小 .加 密 速 度 快 ,加密 效率 局。 根据 对 明文 信息 的 加 密 处 理 方式 ,对 称 密 负 
加 密 通 第 可 以 分 为 分 组 密码 加 密 和 流 密 公 加 密 。 分 组 密码 加 密 是 将 明文 消 明 划分 成 固定 
长 度 的 数据 组 ,每 组 分 别 在 密 钥 的 控制 下 变换 成 等 长 的 密 文 的 加 密 方 法 ,其 特点 是 具有 民 
好 的 扩展 性 ,对 插入 和 修改 有 免疫 性 ,但 它 加 密 速 度 慢 , 错 误会 扩散 和 传播 。 流 密码 加 密 
则 是 将 明文 逐 位 转换 为 密 文 的 加 秘方 法 , 它 具 有 转换 速度 快 及 错误 率 低 的 优点。 
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非 对 称 密 钥 加 密 又 称 公 钥 加 密 , 它 使 用 公 乌 和 私 钥 两 个 不 同 的 密 钥 分 别 执行 加 密 和 
解密 ,其 中 公 和 钥 可 以 发 给 任何 请 求 它 的 人 ,而 私 钥 只 能 由 通信 的 一 方 保管 ,不 能 外 港 。 此 
外 ,通过 公 钥 来 计算 出 私 钥 的 难度 非常 大 。 非 对 称 密 钥 加 密 能 有 效 简 化 密 钥 分 配 和 密 铀 
管理 的 过 程 ,但 其 计算 速度 远 不 及 对 称 密 钥 加 密 , 因 此 在 实际 应 用 中 ,通常 会 将 这 两 种 加 
密 机 制 结 合 起 来 , 即 利 用 对 称 密 钥 对 数据 进行 加 密 , 并 利用 非 对 称 密 钥 对 密 钥 进行 加 密 ， 
从 而 较 好 地 解决 了 运算 速度 和 密 钥 管理 .分配 的 问题 。 

典型 的 对 称 密 钥 加 密 算法 有 AES 算法 和 DES 算法 ,上 典型 的 非 对 称 密 钥 加 密 算法 有 
RSA 算法 、ECC 算法 、RC4 算法 等 。 下 面 将 介绍 其 中 的 几 个 算法 。 


1. DES 算法 

DES(Data Encryption Standard, 数 据 加 密 标 准 ) 算 法 是 一 种 分 组 对 称 密 钥 加 密 算法 ， 
由 IBM 公司 于 20 世纪 70 年 代 提 出 。 它 的 思想 可 以 参照 第 二 次 世界 大 战 时 期 德国 的 恩 
格 玛 (Enigma) 机 ,传统 的 密码 加 密 都 是 由 古代 的 循环 移 位 思想 而 来 的 ,而 恩 格 玛 机 在 此 
基础 上 进行 了 扩散 模糊 ,DES 就 是 在 二 进 制 级 别 做 同样 的 事 以 增加 分 析 的 难度 。 

DES 使 用 64 位 的 密 钥 将 64 位 的 明文 输入 块 变 为 64 位 的 密 文 输出 块 , 密 钥 实 际 上 有 
56 位 ,其 余 是 8 位 奇偶 校 验 位 。 加 密 的 数据 长 度 如 果 不 是 64 位 的 倍数 ,可 以 按照 某 种 具 
体 的 规则 进行 数据 位 填充 。DES 是 一 个 迭代 的 分 组 密 钥 ,采用 Feistel 技术 ,将 加 密 的 文 
本 块 分 成 两 半 ,并 使 用 子 密 钥 对 其 中 一 半 应 用 循环 功能 ,然后 输出 ,与 另 一 半 进 行 异 或 运 
算 ;接着 交换 这 两 半 ,这 一 过 程 会 持续 下 去 ,直到 最 后 一 个 循环 ,不 交换 。DES 采用 16 办 
循环 ,并 使 用 异 或 、 置换、 代 换 、 移 位 这 4 种 基本 运算 操作 。 

DES 的 缺点 是 密 钥 长 度 较 短 ,解决 的 办 法 是 采用 三 重 DES(C3DES ,或 Triple DES) 。 
三 重 DES 采用 3 个 密 钥 ,执行 3 次 常规 的 DES 加 密 操 作 , 密 钥 的 总 有 效 长 度 达 到 168 
位 ,但 其 时 间 开 销 很 大 ,是 DES 算法 的 3 倍 。 

2. RSA 算法 

RSA 算法 是 由 Rivest、Shamir 以 及 Adleman 于 1978 年 合作 开发 并 以 他 们 3 人 的 姓 
氏 首 字母 命名 的 。RSA 算法 是 日 前 最 有 影响 力 和 最 常用 的 公 和 钥 加 密 算 法 ,该 算法 基于 一 
个 数论 事实 :“ 将 两 个 大 素数 相 乘 十 分 容易 ,但 是 想 要 对 其 乘积 进行 因数 分 解 却 极其 困 
难 .” 因 此 该 算法 将 两 个 素数 的 乘积 公开 作为 加 密 密 铀 。 为 了 提高 密 钥 的 强度 ,RSA 密 钥 
至 少 需要 500 位 长 的 素数 ,一般 推荐 使 用 1024 位 的 系数 作为 加 密 密 钥 。 

RSA 算法 具有 很 高 的 安全 性 ,能够 应 用 于 银行 系统 .电子 商务 等 重要 场景 ,但 由 于 其 
加 密 和 解密 过 程 都 采用 大 素数 来 计算 ,因此 其 计算 速度 与 DES 相 比 要 慢 得 多 ,所 以 RSA 
并 不 适合 对 大 量 的 数据 进行 加 密 。 

3. ECC 算法 

ECC(Ellipse Curve Cryptography , 栅 圆 曲线 密码 ) 算 法 是 一 种 基于 椭圆 曲线 数学 问 
题 ,最 初 由 Koblitz 和 Miller 两 人 在 1985 年 分 别 独立 提出 的 公 钥 加 密 算 法 。 

相 较 于 其 他 公 钥 加 密 算 法 ,ECC 算法 具有 安全 性 高 .计算 量 小 ,存储 空间 少 、 处 理 速 
度 快 .市 宽 要求 低 等 优势 。 其 中 ,ECC 算法 内 存 需求 少 的 优势 使 得 它 可 以 应 用 到 很 多 内 
存 受 限 的 环境 中 ,例如 IC 卡 以 及 内 存 和 计算 能 力 较 弱 的 移动 设备 等 。 
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利用 椭圆 曲线 建立 密码 算法 具有 两 大 潜在 的 优点 : 首先 ,不 存在 计算 椭圆 曲线 有 限 
点 群 的 离散 对 数 问题 的 亚 指数 算法 ,因此 ECC 算法 不 易 被 破解 ;其 次 ,用 于 构造 椭圆 曲线 
有 限 点 群 的 椭圆 曲线 是 用 不 完 的 。 


9.2.2 ” 同 态 加 密 手 段 


同 态 加 密 (homomorphic Encryption) 是 一 种 基于 数学 难题 的 计算 复杂 性 理论 的 密 伍 
学 技术 ,利用 这 种 技术 可 以 实现 以 下 功能 : 在 密 文 上 执行 指定 的 代数 运 鼻 ,将 得 到 的 结 末 
返回 给 用 户 解 密 后 所 得 结果 等 于 在 明文 上 执行 指定 的 代数 运算 所 得 到 的 结果 。 

假设 A 、B 为 明文 ,f 为 加 密 函 数 , 则 . 

(1) 如 果 满 足 f(A) 十 f(B)==f(A 十 B), 这 种 同 态 加 密 叫 作 加 法 同 态 加 密 。 

(2) 如 果 满 足 f(A)Xf(B)==f(A XB), 这 种 同 态 加 密 叫 作 乘 法 同 态 加 密 。 

根据 同 态 计算 的 操作 ,可 以 把 同 态 加 密 分 为 部 分 同 态 加 密 和 全 同 态 加 密 。 部 分 同 态 
加 密 只 能 在 明文 上 执行 两 种 同 态 加 密 代 数 运 算 中 的 一 种 ,常见 的 同 态 加 密 体 制 有 
ElGamal 加 密 体 制 、Paillier 加 密 体 制 .Benaloh 加 密 体 制 等 。 全 同 态 加 密 则 既 可 以 执行 加 
法 同 仿 加 密 和 运算, 又 可 以 执行 乘法 同 态 加 密 鼻 法 , 它 是 一 种 公 钥 加 密 体 制 , 可 以 在 解密 密 
钥 未 知 的 情况 下 有 效 地 对 加 密 数 据 进行 计算 。 

9.2.3 ”安全 多 方 计 算 

安全 多 方 计算 (Secure Multi-party Computation,;SMC) 起 源 于 姚 期 六 在 STOC 1986 
上 提出 的 “ 百 万 富翁 ?问题 ,该 问题 是 : 两 个 百 万 富 侈 想 比 较 谁 的 钱 更 多 ,但 又 不 想 让 对 方 
以 及 第 三 方 知道 日 己 财 宦 的 具体 数 日 。 以 这 个 问题 为 起 点 ,人 们 在 寻找 解决 办 法 的 过 程 
中 衍生 并 发 展 出 安全 多 方 计 算 。 

安全 多 方 计算 是 现代 密 人 码 学 中 重要 的 人 研究 方 回 ,其 主要 目的 是 解决 一 组 互 不 信任 的 
参与 方 之 则 保护 隐私 的 协同 计算 问题 , 它 要 求 确 保 输 入 的 独立 性 以 及 计算 的 准确 性 ,同时 
各 输入 值 不 能 泄露 给 参与 计算 的 其 他 成 员 。 

随 春 应 用 场景 的 不 同 , 安 全 多 方 计 算 协 议 的 种 类 也 随 之 改变 ,但 这 些 协议 的 安全 需求 
都 是 敌手 攻击 实现 模型 的 成 功 机 会 不 大 于 攻击 理想 安全 模型 的 成 功 机 会 。 不 同 场景 下 的 
安全 多 方 计 算 模 型 可 以 依 助 不 同 的 手段 来 实现 。 例 如 ,在 半 诚 实 模型 下 ,可 以 依 助 不 经 意 
传输 (Oblivious Transfer,OT) 技 术 来 实现 ,而 恶意 模型 下 的 安全 多 方 计 算 可 信 助 堆 知 识 
证 明 .可 验证 的 秘密 共 且 方案 等 技术 来 实现 。 

目前 ,安全 多 方 计算 的 猎 究 主要 集中 在 普 适 安全 性 公平 性 ,效率 以 及 量子 构造 等 方面 。 
安全 多 方 计算 的 特性 使 其 可 以 运用 在 云 计 算 环 境 中 来 保护 用 户 的 个 人 隐私 和 数据 安全 。 


9 3 数据 容 灾 与 备份 


容 灾 备 份 是 为 了 预防 灾难 发 生 和 控制 灾难 带 来 的 损害 而 做 的 备份 工作 ,这 是 保障 云 
服务 和 云 数据 可 用 性 的 关键 技术 。 具 体 来 说 , 容 灾 备 份 是 指 利 用 技术 、 管 理 手段 以 及 相关 
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灾 备 份 的 目标 是 : 一 旦 灾难 发 生 , 容 灾 备 份 中 心 能 够 及 时 接 蔡 生产 中 心 的 运 避 ,恢复 既定 
范围 内 的 业务 运作 ,保障 企业 业务 不 间断 。 

从 技术 角度 说 ,衡量 容 灾 系统 的 两 个 主要 衡量 指标 是 恢复 点 目标 (Recovery Point 
Objective,RPO) 和 恢复 时 间 目 标 (Recovery Time Object,RTO)。 其 中 ,RPO 是 指 企业 
的 损失 容 限 , 即 在 对 业务 造成 重大 损害 时 可 能 丢失 的 数据 量 ;RTO 指 的 是 系统 的 恢复 时 
间 , 即 应 用 程序 不 会 因 中 断 或 关闭 而 对 业务 造成 重大 损害 的 时 间 。 由 此 可 见 ,RPO 和 
RTO 越 小 ,系统 的 可 用 性 就 越 高 ,相应 地 ,用 户 需 要 投入 的 容 灾 系统 建设 成 本 也 越 高 。 

在 建立 容 灾 系统 的 时 候 需 要 使 用 多 种 技术 ,例如 生产 冰点 和 元 余 站 扣 的 互联 技术 、 进 
行 远 端 数据 复制 的 远程 镜像 与 快照 技术 以 及 存储 虚拟 化 技术 ,下 面 将 分 别 介绍 这 些 技术 。 

(1) 互联 技术 。 容 灾 需 要 涉及 生产 站 点 和 和 宛 余 站 点 ,因此 将 两 者 互联 的 技术 在 容 灾 
中 很 重要 。 目 前 生产 站 点 和 元 余 站 点 互联 技术 主要 有 两 种 :; 一 种 是 光纤 通 忆 连接 ,这 种 
方式 可 以 提供 很 高 的 性 能 ,但 成 本 很 高 ;为 一 种 是 网 络 互 联 拷 术 ,包括 基于 IP 的 光纤 通道 
(Fibre Channel over IP,FCIP) ,Internet 光纤 信道 协议 (lInternet Fibre Channel Protocol， 
IFCP)、Internet 小 型 计算 机 系统 接口 (Internet Small Computer System Interface， 
iSCSI) 等 。 

(2) 远程 镜像 与 快照 技术 。 远 程 人 镜像 又 叫 远 程 复 制 ,是 容 灾 备份 的 核心 技术 。 远 程 
镜像 就 是 把 磁盘 中 的 数据 完全 复制 到 为 一 个 人 磁盘 中 ,数据 在 这 两 处 的 存储 方式 完全 相同 。 
镜像 技术 首先 应 用 于 本 地 操作 ,由 于 容 灾 对 距离 的 需求 而 发 展 成 了 远程 镜像 技术 , 即 生产 
站 点 和 元 余 站 点 的 数据 存储 方式 一 致 。 另 外 ,实现 快速 数据 备份 的 技术 叫 快照 , 它 是 某 时 
间 点 磁盘 系统 中 数据 的 扫描 , 它 不 包含 任何 原始 数据 信息 ,但 用 户 通 过 快照 与 时 间 信 息 可 
以 得 到 该 时 刻 的 完整 数据 。 

(3) 存储 虚拟 化 技术 。 和 存储 虚拟 化 为 容 灾 提供 了 一 种 灵活 的 解决 方案 。 利 用 虚拟 化 
的 特性 ,数据 管理 工具 可 以 更 好 地 处 理 快照 ,备份 ,并 按 需 配置 数据 容量 以 支持 各 种 备份 
来 略 。 

在 云 计 算 环 境 下 ,一 个 好 的 备份 系统 除了 要 配备 好 的 软 硬 件 产品 外 ,还 要 有 良好 的 备 
份 策略 和 管理 规划 作为 保证 。 备 份 策略 的 选择 需要 综合 考虑 备份 的 数据 总 量 .线路 审 宽 、 
时 间 窗 口 .数据 硅 吐 量 和 恢复 时 间 要 求 等 因 系 。 目 前 , 云 计算 环境 中 的 备份 策略 主要 有 全 
量 备份 . 增 量 备份 和 差异 备份 。 

(1) 全 量 备份 。 对 整个 系统 包括 系统 文件 和 应 用 数据 进行 完全 备份 。 这 种 备份 方式 
的 优点 是 数据 恢复 所 宕 的 时 间 短 ;评点 是 由 于 备份 数据 中 的 大 量 内 容 是 重复 的 ,因此 浪费 
了 大 量 的 磁盘 空间 ,增加 了 数据 备份 的 成 本 。 另 外 ,由 于 需要 备份 的 数据 量 大 ,因此 备份 
所 需 的 时 间 也 很 长 。 

(2) 增 量 备份 。 对 上 一 次 备份 (可 以 是 全 量 备份 . 增 量 备份 或 差异 备份 ) 后 增加 的 和 
修改 过 的 数据 进行 备份 。 这 种 备份 方式 的 优点 是 节省 了 磁 市 空间 , 拓 短 了 备份 时 间 ; 缺 点 

(3) 差异 备份 。 对 上 一 次 全 量 备份 之 后 新 增加 的 和 修改 的 数据 进行 备份 。 这 种 备份 
方式 的 优点 是 无 须 每 次 都 进行 全 量 备 份 ,因此 备份 时 间 短 ,并 有 旦 能 够 入 省 人 磁盘 空间 。 为 
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外 ,这 种 案 略 的 容 灾 恢复 也 很 方便 ,管理 员 只 需要 两 次 备份 数据 , 即 全 量 备份 的 数据 磁 市 
与 发 生 灾 难 前 一 天 的 备份 数据 磁 市 , 即 可 将 系统 完全 恢复 。 

管理 人 员 可 根据 不 同业 务 需求 对 数据 备份 的 时 间 窗 口 和 灾难 恢复 的 要 求 选 择 合适 的 
备份 方式 。 为 了 得 到 更 好 的 备份 效果 ,也 可 以 将 这 几 种 备份 方式 组 合 使 用 。 


84 ”其 他 数据 保护 措施 


9.4.1 数据 隔离 


云 计 算 的 特点 之 一 就 是 多 租户 ,这 意味 着 多 个 租户 的 数据 会 存放 在 同一 个 物理 介质 
上 。 通 币 云 服务 提供 商会 采用 数据 标签 等 数据 隔离 技术 来 防止 对 混合 数据 的 非 授 权 访 
问 ,但 攻击 者 仍然 可 以 通过 程序 中 的 漏洞 实现 一 定 程度 的 非 授 权 访 问 。 例 如 ,在 2009 年 
3 月 ,Google Docs 就 发 生 了 不 同 用 户 之 间 文 档 的 非 授权 交互 访问 。 

云 计 算 的 隔离 搁 术 往往 涉及 很 多 虚拟 机 实现 的 细节 。OmniSep 是 一 个 用 于 数据 陋 
离 的 拉 术 框 淋 , 它 包 括 了 以 下 组 件 : 部 署 在 虚拟 机 管理 硕 中 的 两 个 软件 模块 ,其 中 一 个 针 
对 数据 隔离 ,为 一 个 针对 网 络 隔离 ;部 萤 在 云 服 务 提供 商 的 存储 设备 上 的 标记 服务 ;安装 
在 所 有 用 户 虚 拟 机 实例 上 的 Pedigree 操作 系统 级 信息 流 追 踩 组 件 。 下 面 介 绍 OmniSep 
人 

运行 Pedigree 的 云 租户 可 以 指定 安全 案 略 ,并 运用 部 署 在 云 服 务 提 供 商 那里 的 标记 

服务 ,自动 把 标记 分 配给 租户 的 数据 ,这 样 Pedigree 就 可 以 对 租户 虚拟 机 中 的 所 有 进程 
和 文件 信息 流 进 行 追 踪 。 如 果 租 户 的 数据 不 全 合 规定 , 流 回 男 一 个 租户 的 虚拟 机 或 云 计 
算 境 外 的 网 络 区 域 ,虚拟 机 管理 带 上 的 执行 组 件 就 会 终止 类 似 数 据 的 交换 。 网 络 隅 离 软 
件 主要 用 于 干扰 对 多 租户 共 至 的 硬件 资源 进行 探测 的 行为 ,具体 实施 过 程 是 : 通过 问 中 
央 数 据 库 重 写 租 户 虚 拟 机 的 IP 地 址 ,阻止 攻击 者 探测 租户 的 真实 IP 地 址 ,同时 调节 ping 
值 返回 时 间 ,使 得 同一 台 物 理 主机 上 虚拟 机 之 间 的 ping 时 间 值 和 不 同 物理 主机 之 间 的 
ping 时 间 值 相同 。 

下 面 举 个 实际 的 例子 来 帮助 读者 认识 基于 OmniSep 技术 框架 的 云 计 算数 据 隔 离 防 
护 过 程 。 假 设 有 一 个 正 稼 用 户 A 和 一 个 恶意 用 户 B,A 登录 系统 后 发 起 查看 其 个 人 信息 
的 请 求 , 他 得 到 的 返回 信息 会 标记 一 个 “A?”, 销 密 服 务 硕 把 返回 数据 里 的 标记 和 剥离 , 即 除 
去 A 的 标记 信息 ,虚拟 机 管理 硕 上 的 执行 组 件 发 现 这 些 数据 没有 包含 敏感 标记 ,于 是 放 
行 ;B 通过 SQL 注入 攻击 想得到 A 的 个 人 信息 , 销 密 服 务 希 同样 也 会 对 了 得 到 的 返回 数 
据 进 行 标记 和 剥离 ,由 于 B 熏 取 的 A 的 数据 在 经 过 执行 组 件 时 还 市 有 A 的 标记 ,因此 执行 
组 件 会 对 数据 进行 拦截 ,从 而 起 到 保护 作用 。 


9.4.2 数据 迁移 

数据 迁移 是 数据 系统 整合 中 保证 系统 平滑 升级 和 更 新 的 关键 部 分 ,同样 在 云 计 算 中 
也 具有 举足轻重 的 地 位 。 数 据 迁 移 的 质量 不 但 是 新 系统 投入 使 用 的 重要 前 提 , 也 是 今后 
稳定 运行 的 有 力 保 障 。 
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当 云 计算 环境 中 的 物理 服务 器 发 生 宕 机 时 ,为 了 确保 正在 进行 的 服务 能 够 继续 进行 ， 
就 需要 将 正在 工作 的 虚拟 机 迁移 到 其 他 服务 器 上 ,而 虚拟 机 迁移 的 实质 就 是 对 与 该 虚拟 
机 相关 的 数据 进行 迁移 ,迁移 的 数据 包含 内 存 和 寄存 器 中 的 动态 数据 ,还 包含 磁盘 上 存储 
的 静态 数据 。 为 了 让 用 户 感觉 不 到 宕 机 的 发 生 ,数据 迁移 需要 高 速 进行 ,而 且 为 了 让 虚拟 
机 能 在 新 的 服务 器 上 恢复 运行 ,还 需 保 证 数据 的 完整 性 。 另 外 ,虚拟 机 上 还 可 能 运行 着 机 
密 数据 ,因此 需要 保证 这 些 数据 在 迁移 的 过 程 中 不 被 泄露 。 

虚拟 机 到 虚拟 机 的 迁移 主要 有 离线 迁移 和 在 线 迁移 两 种 方式 ， 

(1) 离线 迁移 ,也 称 为 静态 迁移 。 这 种 方式 在 进行 迁移 之 前 需要 将 虚拟 机 暂停 。 如 
果 共 享 存储 , 则 只 复制 系统 状态 至 目的 主机 ,最 后 在 目的 主机 上 重建 虚拟 机 状态 ,恢复 执 
行 ;如 果 使 用 本 地 存储 , 则 需要 同时 复制 系统 状态 和 虚拟 机 镜像 到 目的 主机 。 在 离线 迁移 
的 过 程 中 需要 暂停 虚拟 机 ,这 意味 着 用 户 有 一 段 时 间 是 无 法 使 用 服务 的 ,因此 这 种 方式 虽 
然 简单 易 行 ,但 只 适用 于 对 服务 可 用 性 要 求 不 严格 的 场景 。 

(2) 在 线 迁 移 ,也 称 为 实时 迁移 。 这 种 方式 是 在 保证 虚拟 机 上 的 服务 正常 运行 的 同 
时 ,虚拟 机 在 不 同 的 物理 主机 之 间 进 行 实时 迁移 。 在 线 迁 移 的 逻辑 步 又 和 离线 迁移 基本 
一 致 。 两 者 的 不 同 点 在 于 : 为 了 保证 迁移 过 程 中 虚拟 机 服务 的 可 用 性 ,在 线 迁移 过 程 仅 
有 很 短暂 的 停机 时 间 。 在 迁移 前 期 ,服务 在 源 主机 上 运行 ; 当 迁 移 到 一 定 阶段 时 ,目的 主 
机 已 具备 运行 系统 所 必需 的 资源 时 ,经 过 非常 短暂 的 切换 ,控制 权 就 从 源 主机 转移 到 目的 
主机 ,此 时 服务 就 会 在 目的 主机 上 继续 运行 。 在 在 线 迁移 的 过 程 中 ,服务 暂停 的 时 间 很 短 
暂 , 用 户 基本 上 不 会 察觉 ,因此 在 线 迁 移 的 过 程 对 用 户 是 透明 的 , 它 可 以 应 用 于 对 服务 可 
用 性 要 求 很 高 的 场景 。 


9.4.3 数据 审计 


数据 审计 主要 用 来 帮助 用 户 生成 审计 报表 ,对 安全 事件 进行 追踪 溯源 ,提高 数据 资产 
的 安全 性 。 通 常情 况 下 ,数据 审计 能 够 实时 记录 云 计算 环境 中 的 数据 操作 .数据 状态 以 及 
用 户 访问 行为 等 ,并 对 用 户 的 访问 行为 进行 记录 ,分 析 和 汇报 ， 

云 计算 环境 下 的 数据 审计 需要 考虑 几 种 与 审计 有 关 的 风险 ,包括 固有 风险 、 检 查 风 险 
和 控制 风险 。 其 中 ,固有 风险 是 指 在 不 考虑 内 部 控制 的 情况 下 ,应 用 程序 和 虚拟 机 在 运行 
过 程 中 发 生 重大 错误 的 可 能 性 ;检查 风险 指 的 是 审计 方法 不 能 发 现实 质 性 错误 的 可 能 性 ; 
控制 风险 是 指 现 有 的 控制 方法 不 能 及 时 阻止 或 检测 到 错误 的 可 能 性 ， 

总 的 来 说 ,数据 审计 主要 包括 以 下 几 方 面 的 内 容 ， 

(1) 多 层 业 务 关联 审计 。 通 过 结合 应 用 访问 和 数据 操作 请 求 进行 多 层 业务 关联 审 
计 , 实 现 对 操作 发 生 的 URL 、 客 户 端的 IP 地 址 和 请 求 报 文 等 访问 者 的 信息 进行 完全 扎 
溯 。 管 理 人 员 通 过 多 层 业 务 关 联 审计 可 以 全 面 地 了 解 用 户 的 行为 ,做 到 云 计 算 环 境 中 的 
操作 行为 可 监控 、 违 规 操作 可 追溯 . 

(2) 细 粒 度 用 户 操作 审计 。 通 过 对 数据 访问 请 求 进行 语义 分 析 , 提 取出 访问 请 求 的 相 
关 要 素 , 例 如 用 户 、 操 作 、 对 象 . 函 数 等 ,实时 监控 来 自 应 用 系统 、 客 户 端 等 多 个 层面 的 所 有 数 
据 操作 请 求 , 并 对 违规 的 操作 进行 阻 断 。 审 计 系统 不 仅 要 对 数据 操作 请 求 进行 实时 审计 ,还 
需要 根据 用 户 的 历史 访问 操作 进行 用 户 行为 建 模 ,根据 用 户 的 行为 模型 设计 审计 规则 。 
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(3) 精准 化 行为 回 湖 。 当 安全 事件 发 生 时 ,审计 系统 要 提供 基于 数据 对 象 的 完全 自 
定义 审计 查询 及 审计 数据 展现 ,精准 地 定位 到 所 有 层面 的 数据 访问 及 操作 ,为 事件 追踪 淹 
源 提供 依据 

(4) 全 方位 风险 控制 。 根 据 登 录用 户 .操作 命令 .操作 时 间 、 源 IP 地 址 等 定义 用 户 所 
关心 的 重要 事件 和 风险 事件 , 当 检 测 到 可 疑 操作 或 违反 审计 规则 的 操作 时 ,系统 需要 通过 
短信 警告 .邮件 警告 等 方式 通知 管理 员 ， 


9.4.4 数据 删除 


为 保 隐 云 计算 环境 下 的 数据 安全 ,需要 对 云 数 据 在 生命 周期 中 的 各 个 阶段 采取 安全 
保护 措施 ,而 数据 删除 正 处 在 云 数 据 生 命 周 期 的 最 后 一 个 阶段 , 普 过 存在 数据 残留 问题 ， 
云 病 数据 可 能 面临 数据 删除 后 锐 重 新 恢复 、 云 问 的 原 数据 和 备份 数据 没有 被 云 服 务 提供 
商 真 正 删 除 等 安全 风险 。 所 请 数据 残留 , 指 的 是 存储 介质 中 的 数据 被 删除 后 ,并 未 彻底 清 
除 ,而 在 存储 介质 中 留 下 存储 过 的 数据 站 迹 。 这 些 残 留 数 据 会 在 有 意 或 无 意 中 泄露 用 户 
的 敏感 信息 ,给 用 户 市 来 严重 的 损失 。 

传统 的 数据 残留 一 般 只 涉及 人 硬件 层面 的 涤 层 数 据 销 毁 ,用 户 一 般 只 需 采 用 文件 粉碎 、 忌 
温 与 焊 破 销毁 等 扩 术 就 可 以 将 数据 完全 探 除 。 但 云 计 自 环 境 下 的 数据 残留 还 涉及 很 多 需要 
考 夸 的 因素 。 例 如 ,各 个 层面 的 数据 由 于 各 种 应 用 需求 和 灾 备 需求 ,往往 会 在 用 户 未 察觉 的 
情况 下 对 数据 进行 第 三 方 缓存 、 复 制 或 归档 ,这 种 情况 尤其 在 Saas 应 用 中 比较 普 过 。 

目前 , 云 环 境 下 数据 完全 擦 除 的 方法 还 比较 少 。 实 现 数据 安全 删除 的 技术 主要 可 以 
分 为 安全 覆盖 和 密 公 学 保护 这 两 大 类 : 

(1) 安全 和 窗 荔 拉 术 。 删 除数 据 时 前 先 对 数据 本 晤 进行 破坏 ,即使 用 新 的 数据 对 旧 的 
数据 进行 覆 兹 ,以 达到 原 数 据 不 可 恢复 的 目的 ,这 样 即 使 云 服 务 提供 商 保 留 了 该 数据 的 攻 
些 副 本 并 通过 菏 些 手段 获得 密 钥 来 解密 ,其 最 后 看 到 的 内 容 也 是 完全 没有 意义 的 。 然 而 
安全 和 窗 蓄 拉 术 想 要 达到 闹 安 全 性 的 前 提 是 云 服 务 提供 商 壳 要 问 用 户 提 供 关 于 用 户 的 云 数 
据 及 所 有 备份 的 具体 存储 位 置 , 右 云 服务 提供 商人 存储 了 用 户 所 不 知道 的 备份 数据 , 则 最 终 
也 无 法 达到 安全 删除 的 目的 。 因 此 ,这 种 方法 在 云 服务 提供 商 不 可 信 的 情况 下 是 不 能 你 
证 高 安全 性 的 。 

(2) 密码 学 保护 技术 。 对 上 传 到 云 存 储 中 的 数据 进行 多 次 加 密 , 并 由 一 个 或 多 个 密 
钥 管 理 人 员 来 管理 密 钥 。 当 数据 需要 和 被 删除 的 时 候 , 密 钥 管 理 者 束 会 删除 该 数据 对 应 的 
解密 密 钥 ,这 样 ,即使 云 服 务 提供 商 保 留 了 该 文件 的 备份 ,也 无 法 解密 该 文件 。 相 较 于 安 
全 敌 荔 技术 , 密 公 学 保护 技术 能 够 在 云 服务 提供 商 不 可 信和 的 情况 下 保证 对 数据 的 安全 探 
除 ,因此 具有 更 郧 的 安全 性 ，。 


g 5 本 革 小 结 


随 着 电子 信息 化 进程 的 快速 发 展 ,政治 经 济 和 军事 等 方面 的 电子 信息 化 程度 也 越 来 
越 高 。 数 据 作为 信息 的 载体 ,其 安全 性 直接 关系 到 用 户 隐私 、 商 业 秘密 和 国家 安全 等 各 个 
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方面 ,因此 云 数据 安全 是 构建 云 安 全 体系 的 核心 环 方 ,是 推动 云 计算 技术 广 沁 应 用 和 不 断 
发 展 的 重要 因素 。 为 保障 云 数 据 安全 ,需要 及 取 全 面 的 安全 防护 措施 来 有 效 保 障 数 据 的 

本 草 自 完 分 析 了 云 数据 在 生命 周期 的 各 个 阶段 所 面临 的 不 同 的 安全 问题 ,然后 介绍 
了 数据 加 密 及 密 文 计算 .数据 容 灾 与 备份 以 及 数据 隔离. 数据 迁移 、 数 据 审 计 ` 数 据 删除 等 
数据 保护 措施 。 通 过 本 革 的 学 习 , 读 者 应 该 对 云 环境 下 的 数据 安全 现状 与 第 见 安 全 问题 
有 一 定 的 认识 , 擎 握 第 用 的 数据 安全 防护 措施 。 


(1) 云 数据 的 生命 周期 有 几 个 阶段 ”每 个 阶段 分 别 面临 什么 安全 问题 ? 


(2) 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 的 特点 分 别 是 什么 ”分 组 密码 和 流 密码 有 什么 
不 同 ? 


(3) 常见 的 对 称 密 钥 加 密 算法 和 非 对 称 密 钥 加 密 算法 有 哪些 ? 

(4) 从 技术 角度 说 ,衡量 容 灾 系统 的 两 个 主要 指标 是 什么 ”这 两 个 指标 分 别 代表 
什么 ? 

(5) 在 建立 容 灾 系统 时 涉及 的 技术 有 哪些 ?” 云 计算 环境 下 的 备份 策略 主要 有 哪 
3 种 ? 

(6) 虚拟 机 之 间 的 数据 迁移 主要 有 哪 两 种 方式 ? 简 述 这 两 种 方式 。 

(7) 数据 审计 需要 关注 的 内 容 有 了 哪 几 方面 ? 

(8) 数据 安全 删除 的 技术 主要 可 以 分 为 哪 两 大 类 ? 
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10 1 安全 功能 服务 化 
为 了 保障 信息 系统 的 安全 ,信息 系统 网 络 通常 会 在 终端 设备 上 安装 监控 代理 ,部署 防 


火 墙 \, 人 侵 检 测 和 安全 审计 等 系统 防御 和 检测 设备 。 传 统 安 全 设备 一 般 会 直接 部 署 到 终 
闹 设 备 或 者 尽 可 能 贴近 网 络 边 界 ,以 达到 最 佳 的 防御 效果 。 通 常 来 说 ,只 要 配置 正确 ,这 
些 安全 设备 部 能 很 好 地 检测 并 防御 来 目 网 络 外 部 以 及 网 络 内 部 的 恶意 流量 和 攻击 。 

然而 , 随 春 信息 系统 规模 的 不 断 扩 大 以 及 业务 融合 交互 需求 的 增加 ,恶意 的 攻击 和 爆 
发 式 增长 的 恶意 代码 迫使 企业 部 蓝 越 来 越 多 的 安全 防护 设备 ,这 无 疑 极 大 地 增加 了 企业 
的 经 济 负担 ,同时 也 增加 了 管理 人 员 的 维护 和 配置 工作 。 

为 缓解 这 种 压力 ,安全 功能 服务 化 应 运 而 生 。 早 期 的 安全 功能 服务 化 体现 了 资源 集 
中 处 理 的 思想 , 即 对 于 用 户 共性 的 .业务 耦合 较 弱 的 安全 需求 ,不 再 由 各 个 用 户 系统 分 别 
实现 安全 保护 ,而 是 由 第 三 方 安全 服务 提供 商 统一 提供 安全 模块 ,用 户 只 需 根据 目 己 的 安 
全 需求 组 合 和 调用 这 些 安 全 模块 , 即 可 实现 信息 系统 的 安全 防护 。 

云 计算 的 发 展 和 应 用 系统 外 延 的 持续 扩张 使 得 网 络 边界 越 来 越 模糊 ,安全 功能 的 实 
现 需要 与 应 用 系统 解 耦合 ,并 通过 集中 式 、 标 准 化 的 方式 来 适应 不 同 规模 和 不 同业 务 类 别 
的 应 用 。 安 全 功能 服务 化 也 可 称 为 安全 即 服务 (Security as a Service，SaaS) ,是 将 对 应 用 
系统 或 网 络 的 安全 防护 措施 以 服务 的 形式 提供 给 用 户 。 安 全 功能 服务 化 是 云 服务 的 重要 
组 成 部 分 , 它 以 云 计 算 环境 作为 依托 问 用 户 提 供 各 种 安全 服务 。 安 全 功能 服务 化 要 求 云 
计算 环境 下 的 安全 防护 手段 所 需 具 备 的 能 力 如 下 : 

(1) 高 速 高 效 的 处 理 能 力 。 目 前 大 部 分 用 户 已 经 拥有 百 兆 市 宽 的 光纤 接 入 ,核心 网 
和 骨干 网 更 是 达到 万 兆 其 至 更 高 的 数量 级 ,因此 安全 设备 的 处 理 能 力 必须 高 速 、 高 效 才 能 
保障 系统 的 安全 。 

(2) 灵活 弹性 的 配置 能 力 。 安 全 功能 服务 化 需要 针对 不 同 用 户 不 同等 级 的 安全 需求 
提出 具体 的 建议 和 规划 ,并 通过 弹性 配置 的 方式 来 减少 系统 扩容 或 升级 导致 的 成 本 ,降低 
管理 的 复杂 上 度 。 

(3) 实时 监测 的 应 用 能 力 。 当 前 病毒 .蠕虫 等 应 用 层 威胁 和 传统 的 基于 网 络 或 传输 
层 的 安全 威胁 共同 构成 了 复合 式 的 威胁 ,这 些 威胁 严重 危害 云 计算 系统 的 安全 。 安 全 服 
务 化 要 能 够 检测 绝 大 部 分 恶意 代码 和 非法 入 侵 行为 ,并 提供 日 映 规则 、 案 略 库 和 按 需 更 新 
机 人 制 ,降低 企业 及 用 户 在 接 入 互联 网 时 面临 的 安全 威胁 。 

(4) 全 程 的 业务 防护 能 力 。 安 全 防护 手段 不 能 依赖 传统 的 网 络 安全 边界 ,必须 提供 
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绒 到 端的 全 程 业 务 防护 能 力 ,要 能 按 需 认证 参与 网 络 通 信和 的 双方 映 份 ,判定 要 求 访问 资源 
的 用 户 权 限 ,记录 和 审计 交互 过 程 中 产生 的 时 间 和 日 志 ,你 护 数据 在 传输 过 程 中 的 完整 性 


和 机 密 性 。 
(5) 普 适 宜 用 的 运行 能 力 。 安 全 功能 服务 化 要 求 安 全 手段 具有 普 适 性 特征 ,要 能 兼 
容 不 同 的 操作 系统 用户 服务 器 和 终端 。 另 外 ,还 应 通过 标准 化 和 规范 化 的 方式 提供 接 


口 ,实现 安全 服务 的 灵活 调用 ,便于 用 户 使 用 和 业务 系统 的 集成 。 

相 较 于 传统 计算 模式 , 云 计算 能 够 提供 廉价 且 强 大 的 计算 能 力 和 存储 能 力 , 它 具有 运 
行 状态 可 控 、 资 源 可 弹性 伸 风 、 按 需 计 费 等 特点 ,这 些 优势 使 得 通过 集中 、 统 一 的 实施 方式 
实现 安全 功能 按 需 交付 成 为 可 能 。 
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10.2.1 流量 清洗 服务 


流量 清洗 服务 是 针对 DoS/DDoS 攻击 的 监控 .告警 和 防护 的 一 种 网 络 安全 服务 。 该 
服务 对 进入 客户 IDC 的 数据 流量 进行 实时 监控 ,及 时 发 现 异 常 流量 ,并 且 在 不 影响 正常 
业务 的 前 提 下 清洗 异常 流量 ,进而 有 效 地 满足 用 户 对 业务 连续 性 的 要 求 。 同 时 ,该 服务 通 
过 时 间 通 告 .分析 报表 等 服务 内 容 提升 客户 网 络 流 量 的 可 见 度 和 安全 状况 的 清晰 度 。 

流量 清洗 服务 系统 主要 由 攻击 检测 .攻击 缓解 以 及 监控 管理 3 个 部 分 组 成 。 其 中 , 攻 
击 检测 部 分 检测 网 络 流量 中 隐 殖 的 非法 攻击 流量 ,一 旦 发 现 异常 流量 ,就 会 立即 通知 并 激 
活 防 护 设备 进行 异常 流量 的 清洗 ;攻击 缓解 部 分 通过 专业 的 流量 清洗 平台 ,从 原始 网 络 路 
径 中 重 定 向 可 疑 流量 ,识别 和 和 剥离 恶意 流量 ,并 把 合法 流量 回 注 到 原 网 络 中 转发 给 目标 应 
用 系统 ,这 样 就 不 会 影响 正常 流量 的 转发 路 径 ; 监 控 管 理 部 分 对 流量 清洗 系统 的 设备 进行 
集中 管理 和 配置 , 癌 管 理 人 员 展 示 实 时 流量 .告警 事件 ,及 时 输出 流量 分 析 报 告 和 攻击 防 
护 报告 等 。 下 面 以 宽 刘 流量 清洗 解决 方案 为 例 ,详细 介 绍 流量 清 洗 服务 的 主要 流程 。 

流量 清洗 方案 原理 如 图 10-1 所 示 , 从 中 可 以 看 到 ,此 流量 清洗 方案 主要 分 为 3 个 步 
又 : 第 一 步 , 利 用 专用 检测 设备 对 用 户 业 务 流量 进行 分 析 和 监控 ;第 二 步 , 一 旦 检测 到 用 
户 遭 党 DDos 攻击 ,检测 设备 将 情况 上 报 给 专用 业务 管理 平台 生成 流量 清洗 任务 ,将 用 户 
流量 府 引 到 流量 清洗 中 心 ; 第 三 步 , 流 量 清 洗 中 心 对 符 引 过 来 的 用 户 流 量 进行 清洗 ,再 将 
清洗 后 的 用 户 合 法 流量 回 注 到 城 域 网 ,与 此 同时 ,上 报 清 洗 日 志 到 业务 管理 平台 生成 

流量 清洗 服务 主要 包括 以 下 4 个 功能 : 

(1) 实时 / 按 需 的 流量 清洗 。 当 攻击 发 生 时 ,可 实时 启动 流量 清洗 服务 ,也 可 在 发 生 
攻击 后 的 规定 时 间 内 局 动 流量 清洗 服务 。 

(2) 文 持 多 种 类 型 的 流量 清洗 。 服 务 能 够 针对 UDP、TCP ICMP 、HTTP、SIP 、 DNS 
等 应 用 进行 准确 的 流量 清洗 ,同时 支持 对 SYN Flood,ICMP Flood、UDP Flood、DNS 
Query Flood 和 (M)Stream Flood 等 各 类 DoS 攻击 的 防御 。 

(3) 动态 调整 防 DDoS 攻击 策略 。 针 对 网 络 安全 管理 情况 ,结合 不 同 种 类 用 户 的 需 
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求 ,动态 调整 DDoS 攻击 防御 策略 的 配置 ,达到 最 佳 的 防 攻击 模式 。 

(4) 可 定期 加 用户 提供 服务 报表 。 服 务 可 以 实现 攻击 过 程 的 记录 与 分 析 , 使 用 户 能 
够 了 解 日 号 设 备 受 到 防护 的 过 程 以 及 结果 。 

流量 清洗 服务 可 以 实现 整个 服务 调用 过 程 的 交互 安全 ,但 同时 它 也 审 来 了 很 多 问题 。 
首先 ,流量 经 过 流量 清洗 服务 实例 转发 必然 会 造成 效 据 传输 延 到 ,因此 市 宽 可 能 会 成 为 制 
约 网 络 性 能 的 关键 因素 。 其 次 ,由 于 用 户 的 流量 对 流量 清洗 服务 提供 商 是 完全 可 见 的 , 因 
此 用 户 的 敏感 数据 可 能 会 泄露 给 第 三 方 服务 商 。 
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10-1 流量 清洗 方案 原理 


10.2.2 云 查 杀 服 务 
对 于 信息 系统 来 说 ,最 常见 的 威胁 来 自 可 执行 程序 ,这 些 人 为 编制 的 程序 会 利用 系统 
存在 的 漏洞 发 起 恶意 攻击 ,给 计算 机 软 硬 件 设施 造成 极 大 破坏 。 与 传统 反 病毒 模式 相 比 ， 
云 计 算 因 其 具有 超 强 的 计算 能 力 而 具备 较 强 的 病毒 防护 能 力 , 通 常 云 查 杀 服务 都 能 由 云 
端 统一 提供 病毒 特征 库 和 杀毒 引擎 ,并 利用 其 计算 能 力 快速 分 析 和 提取 病毒 特征 。 
恶意 程序 通常 可 以 分 为 两 类 : 一 类 需要 寄生 在 宿主 程序 中 ,它们 必须 依赖 实际 的 系 
统 程序 或 应 用 程序 才能 运行 ,例如 病毒 .后 门 等 ; 另 一 类 可 以 独立 于 宿主 程序 ,它们 可 被 操 
作 系 统 调度 并 独立 执行 ,例如 僵尸 程序 等 。 另 外 ,恶意 程序 还 可 以 依据 是 否 能 自我 复制 来 
划分 : 不 能 进行 自我 复制 的 恶意 程序 只 能 通过 触发 而 被 激活 ,例如 逻辑 炸弹 ;能 自我 复制 
的 恶意 程序 则 一 般 包括 独立 的 执行 部 分 和 复制 部 分 , 当 获 取 执 行 机 会 后 将 会 产生 自身 的 
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副本 ,这些 副本 在 合适 的 时 机 会 被 激活 ,例如 师 虫 等 。 

随 看 技术 的 不 断 发 展 ,各 类 病毒 层出不穷 ,人 匈 害 性 也 更 强 , 传 统 的 反 病 毒 查 杀 模 式 面 
临 者 许多 挑战 。 首 先 ,病毒 的 发 现 具 有 沛 后 性 ,因为 新 病毒 的 发 现 需要 经 过 检测 、 识 别 等 
多 个 步 又 的 反复 确认 ,这 可 能 使 得 病毒 在 筱 发 现时 已 经 造成 了 巨大 的 破坏 ;其 次 ,病毒 库 
更 新 不 同步 ,用 户 如 采 没 有 及 时 更 新 目 己 计算 机 里 的 病毒 库 , 从 而 使 得 目 己 计算 机 里 的 病 
毒 库 的 版 本 较 低 ,将 会 很 容易 受到 病毒 感染 ;最 后 ,传统 的 防 病毒 软件 在 运行 时 的 CPU 
占用 率 通 冲 都 很 高 ,高 负载 的 病毒 检测 程序 会 加 重 CPU 和 磁盘 的 负担 ,使 用 户主 机 的 工 
作 性 能 下 降 。 

然而 , 云 计 算 环 境 由 于 实现 陆 源 的 高 效 整 合 和 集中 利用 ,具备 了 超 蝇 的 计算 能 力 ， 
因此 可 以 为 病毒 特征 的 快速 分 析 和 提取 提供 强大 支持 。 用 户 通 过 使 用 云 计 算 提供 的 病毒 
查 杀 服务 ,就 无 须 在 目 己 的 主机 上 安 冯 庞大 的 病毒 库 和 杀毒 引擎 ,而 只 要 保留 基 本 的 主动 
防御 程序 和 云 服务 接口 组 件 , 束 可 以 实现 系统 的 实时 防护 和 病毒 查 杀 ,并 且 用 户 无 须 再 担 


Internet 


互联 网 
网 络 疏 虫 可 信 认 证 于 = 
em LE 
样本 分 析 
| 工作 流 服务 器 


安全 扫 擂 
调度 服务 前 


分 布 式样 本 


行为 分 析 
服务 禹 


病毒 
§ 纹 库 3 


图 10-2 安全 云 系 统 架构 
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心病 毒 库 的 更 新 问题 ,因为 云 数 据 中 心 会 对 其 提供 的 病毒 特征 库 和 查 杀 引擎 进行 统一 更 
新 升级 ,用 户 只 需 通 过 网 络 就 可 以 使 用 最 新 的 病毒 库 和 杀毒 引擎 。 

安全 云 提 供 的 新 型 病毒 查 杀 模式 实际 上 是 一 种 基于 互联 网 的 防 病毒 体系 ,其 安全 加 
构 主 要 包括 用 户主 机 、 互 联网 和 安全 云 3 个 部 分 ,如 图 10-2 所 示 。 其 中 ,用 户主 机 是 安全 
服务 的 使 用 者 ;互联 网 是 安全 服务 的 交付 媒介 ,也 是 病毒 的 主要 来 源 ;安全 云 则 是 安全 服 
务 的 提供 者 。 

病毒 样本 采集 处 理 集群 是 安全 云 内 部 系统 绪 构 的 核心 ,其 主要 包括 分 布 式 样本 采集 
集群 .样本 管理 数据 库 、 分 布 式 存储 服务 硕 集 群 和 样本 处 理 中 心服 务 闫 等 核心 的 功能 单 
元 ,它们 可 以 实现 病毒 样本 的 处 理 、. 记录 以 及 存档 。 另 外 ,安全 云 还 包含 了 网 络 爬 虫 、. 统 计 
服务 各 .行为 分 析 服 务 需 、 分 布 式 杀 毒 软 件 集群 等 ,它们 主要 可 以 提供 病毒 查 杀 .任务 调度 
等 功能 。 安 全 云 利用 安装 在 用 户主 机 上 的 客户 端 所 构成 的 庞大 网 络 获取 互联 网 中 最 新 的 
病毒 信息 ,由 云端 的 服务 器 集群 负责 分 析 和 处 理 所 收 集 的 信息 ,并 将 病毒 特征 码 或 处 理 结 
果 发 送 到 每 个 客户 端 , 从 而 实现 病毒 的 快速 检测 。 

与 传统 的 病毒 查 杀 模式 相 比 , 云 计算 提供 的 病毒 查 杀 利用 了 大 量 互 联 的 服务 需 , 从 而 
大 大 提高 了 病毒 查 杀 的 能 力 , 明 显 缩短 了 病毒 查 杀 所 需 的 时 间 。 玫 外 , 云 病毒 查 杀 系统 利 
用 众多 的 客户 端 收集 最 新 的 病毒 信息 ,这样 可 以 扩大 病毒 样本 量 , 有 利于 病毒 的 分 析 以 及 
病毒 查 杀 方案 的 确立 ,因此 用 户 既 是 反 病 毒 体系 的 贡献 者 ,也 是 受益 者 。 


103 ， 云 安 全 服务 存在 的 问题 


安全 功能 服务 化 已 经 成 为 网 络 安全 技术 发 展 的 趋势 ,尤其 是 在 云 计算 环境 下 。 云 计 
算 的 出 现 从 IT 资源 上 保障 了 安全 服务 运行 所 需 的 计算 、 存 储 以 及 网 络 资源 ,并 且 其 具备 
的 泛 在 接 入 以 及 弹性 供给 的 能 力也 让 用 户 更 容易 获得 云 安 全 服务 ,因此 云 安全 服务 受到 
了 用 户 的 青睐 。 然 而 ,在 云 安全 服务 迅猛 发 展 的 过 程 中 , 云 环境 在 自身 稳定 性 和 可 用 性 上 
都 暴露 出 不 少 问 题 ,这 些 直 接 影 响 到 云 安全 服务 的 质量 ,也 使 得 用 户 对 云 安全 服务 仍 持 有 
怀疑 的 态度 。 本 节 就 针对 目前 云 安全 服务 所 存在 的 问题 ,介绍 需要 改进 和 完善 的 3 个 
方面 。 

10.3.1 用 户 隐 私 安 全 

隐私 安全 关系 着 用 户 的 个 人 隐私 、 企 业 的 商业 机 密 以 及 国家 的 国防 安全 ,因此 它 在 云 
安全 中 占据 着 重要 地 位 。 云 安全 服务 提供 商 需 要 在 为 用 户 提供 云 安全 服务 的 同时 保护 好 
用 户 隐 私信 息 和 敏感 数据 的 安全 。 

前 面 介绍 的 流量 清洗 服务 有 一 个 缺点 ,就 是 用 户 的 数据 对 第 三 方 云 安全 服务 提供 商 
而 言 是 透明 的 ,因此 很 可 能 会 导致 用 户 的 敏感 数据 被 泄露 。 虽 然 云 安全 服务 提供 商都 宣 
称 云 安全 服务 与 用 户 业 务 系统 的 集成 只 是 为 了 检测 的 需要 , 仅 有 可 疑 的 文件 和 数据 会 被 
上 传 至 云端 进行 检测 和 扫描 ,但 存储 个 人 隐私 的 数据 文件 也 同样 可 能 被 当 作 可 疑 文件 上 
传 至 云端 ,一旦 文件 脱离 了 用 户 的 控制 范围 ,就 会 面临 数据 是 否 被 有 效 保护 .检测 完 后 是 
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否 被 销毁 等 安全 问题 。 

另外 ,对 于 鉴 权 服务 、 云 安全 认证 而 言 ,用 户 需 要 将 自己 的 账号 和 口令 等 上 传 至 云 计 
算 环境 中 ,并 由 云端 作为 可 信 第 三 方 为 用 户 使 用 网 络 站 点 提供 信任 担保 。 如 果 委 托 云 计 
算 平台 进行 身份 管理 的 用 户 是 一 个 大 型 企业 ,那么 云 平 台 将 保存 该 公司 所 有 员工 的 个 人 
信息 ,一 旦 云 平台 的 安全 防线 被 攻破 ,这 些 信息 将 被 泄露 ,这 将 带 来 无 法 估量 的 损失 。 

10.3.2 ” 云 安全 服务 健壮 性 

云 计算 环境 提供 的 安全 服务 可 以 提高 服务 的 效率 和 性 能 ,但 云 环境 的 开放 性 也 使 其 
面临 着 许多 安全 风险 。 例 如 ,用 户 能 很 方便 地 利用 终端 设备 ,通过 互联 网 访问 云端 的 数据 
和 应 用 ,而 攻击 者 也 能 很 容易 地 对 云端 发 起 攻击 。 随 着 云 计算 的 不 断 发 展 ,恶意 攻击 者 入 
侵 云 计算 环境 的 案例 数不胜数 ,一 旦 云 环境 自身 的 安全 得 不 到 有 效 保障 而 被 攻击 者 攻破 
了 安全 防线 ,那么 其 承载 的 各 类 服务 及 用 户 数据 将 面临 严重 的 安全 威胁 , 轻 则 导致 用 户 数 
据 信息 泄露 , 重 则 可 能 导致 用 户 服务 中 断 ,这 些 都 将 会 给 企业 和 个 人 带 来 巨大 损失 。 

为 应 对 攻击 者 层出不穷 的 攻击 手段 , 云 计算 环境 必须 增强 其 安全 服务 的 健壮 性 ,安全 
服务 提供 商 在 部 署 安全 服务 前 ,就 应 该 充分 考虑 安全 服务 在 云端 运行 过 程 中 可 能 面临 的 
各 种 风险 ,并 采取 相应 的 措施 增强 自身 的 健壮 性 ,在 最 坏 的 情况 下 至 少 要 能 提供 比较 完善 
的 恢复 手段 以 防止 用 户 数 据 的 丢失 。 

10.3.3 云 安 全 服务 适应 性 

早期 的 云 安全 服务 只 能 提供 恶意 网 址 检测 .电子 邮件 过 滤 等 功能 较为 简单 的 安全 服 
务 ,这 一 阶段 的 用 户 数量 相对 较 少 。 随 着 互联 网 的 不 断 发 展 , 攻 击 者 的 攻击 能 力 越 来 越 
强 , 恶 意 软 件 也 越 来 越 泛滥 ,使 得 用 户 对 网 络 及 终端 的 安全 防护 需求 越 来 越 强烈 。 云 计算 
的 出 现 让 安全 功能 服务 化 成 为 可 能 ,安全 防毒 云 的 迅猛 发 展 带动 了 整个 安全 服务 产业 , 越 
来 越 多 的 安全 应 用 是 以 服务 的 形式 交付 给 用 户 的 。 

在 这 种 背景 下 , 云 安全 服务 必须 与 物 联 网 、 移 动 互 联网 等 新 技术 的 发 展 相 适应 ,要 让 
微型 终端 .平板 电脑 .智能 手机 等 终端 实体 都 能 像 网 络 中 的 服务 器 一 样 实现 安全 功能 的 按 
需 调 用 。 要 实现 这 一 点 , 云 安 全 服务 产品 就 必须 做 到 根据 终端 的 运算 能 力 、 网 络 质量 等 参 
数 自动 判断 其 所 需 的 服务 ,以 便 向 其 推送 安全 服务 ,也 就 是 要 具备 安全 服务 能 力 的 动态 调 
整 机 制 ,以 使 安全 服务 具有 更 高 的 适应 性 和 兼容 性 。 


104 ”本草 小 结 


随 看 云 计 算 的 了 迅 猛 发 展 ,安全 功能 服务 化 已 成 为 如 今 的 趋势 。 本 章 自 先 对 安全 功能 
服务 化 进行 了 总 体 介绍 , 列 出 了 为 实现 安全 功能 服务 化 要 求 , 云 计算 环境 下 的 安全 防护 手 
段 应 具备 的 能 力 。 接 看 介绍 了 流量 清洗 、 云 查 杀 这 两 种 典型 的 云 安全 服务 ,其 中 具体 介绍 
本 流量 清洗 的 原理 及 缺点 、 病 毒 查 杀 的 系统 架构 等 。 最 后 提出 了 云 安全 服务 存在 的 3 个 
问题 ,分别 是 用 户 隧 私 安全 问题 \ 云 安全 服务 健壮 性 以 及 适应 性 , 云 安 全 服务 提供 商 需 要 
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云 计 算 及 云 安全 
在 这 3 个 方面 进行 改进 和 完善 。 


10.5 思考 题 


(1) 安全 功能 服务 化 要 求 云 计 算 环 境 下 的 安全 防护 手段 具备 哪些 能 力 ? 

(2) 流量 清洗 服务 的 过 程 是 什么 ? 该 服务 有 什么 缺点 ? 

(3) 人 简 述 流 量 清洗 服务 需要 具备 的 主要 功能 

(4) 云 查 杀 服 务 中 的 安全 云 系 统 架 构 由 哪些 部 分 组 成 ? 它们 是 如 何 相 互 配合 来 工 


(5) 云 安全 服务 还 存在 哪些 问题 需要 改进 和 完善 ? 
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第 11 剖 
云 安 全 管理 平台 


11.1 云 安全 管理 平台 概述 


随 着 云 计算 的 普及 ,大 量 分 散 数 据 集 中 到 私有 云 和 公有 云 内 ,这 些 数据 中 包含 的 巨大 
言 息 和 潜在 价值 也 吸引 了 更 多 的 攻击 者 ,根据 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 ( 简 
称 CNCERT/CC) 报 告 ,网 络 安 全 事件 依然 持续 不 断 爆 发 。 《信息 安全 技术 网 络 安全 等 级 
保护 基本 要 求 第 2 部 分 : 云 计 算 安 全 扩展 要 求 MGA/T 1390.2 一 2017) 标 准 , 对 云 环 境 中 
的 应 用 系统 以 及 虚拟 网 络 设备 作 出 了 明确 的 要 求 。 云 时 代 的 安全 防护 不 仅 要 求 安 全 防护 
能 力 能 够 满足 相关 法 律 法 规 和 标准 的 要 求 ,同时 要 求 云 服务 提供 商 能 够 回 云 内 的 租户 提 
供 相 应 的 安全 服务 能 力 , 并 且 安 全 服务 能 力 的 使 用 能 够 支持 可 运营 。 

仅 依 靠 在 云 内 部 署 虚拟 化 设备 的 方式 已 经 完全 无 法 满足 用 户 管 理 使 用 和 安全 防护 的 
要 求 , 云 上 的 安全 服务 能 力 需 要 考虑 适应 云 计 算 环 境 中 的 攻击 特点 ,构建 从 网 络 到 主机 、 
应 用 的 立体 化 防护 手段 。 

云 安全 管理 平台 是 一 个 架构 先进 .适用 范围 广 的 云 计 算 安 全 解决 方案 ,能 广泛 兼容 多 
种 云 计算 环境 ,为 云 服 务 提供 商 搭 建安 全 服务 能 力 供给 平台 ,实现 安全 服务 的 可 运营 、 可 
持续 产 出 。 云 安全 管理 平台 提供 的 安全 服务 除了 满足 法 律 法 规 和 标准 的 要 求 外 ,还 能 适 
应 云 上 安全 的 特点 ,提供 立体 化 的 安全 防护 能 力 。 

云 安 全 管理 平台 是 可 以 全 面 解决 专 有 云 安全 问题 的 一 站 式 综合 性 解决 方案 。 产 品 整 
体 设 计 由 原来 以 防范 为 中 心 ,基于 边界 防御 的 传统 网 络 安全 升级 为 集 监测 ,发 现 、 防 御 于 
一 体 的 解决 思路 ,深入 云 计 算 内 部 ,覆盖 云 环 境 中 的 网 络 层 、 宿 主机 层 、 虚 拟 化 层 、 云 主机 
层 .应 用 层 ,数据 层 等 多 层 防护 。 

云 安 全 管理 平台 支持 一 站 式 管 理 , 即 只 需 部 署 一 套 系统 , 即 可 防御 云 安全 威胁 ,并 可 
针对 不 同 的 使 用 者 设计 不 同 的 安全 控制 权限 ;对 云 平 台 网 络 层 、 箱 主机 层 、 虚 拟 化 层 、 云 主 
机 层 .应 用 层 .数据 层 等 提供 全 面 的 防护 功能 ,实现 多 方位 的 联动 防护 ; 云 安全 管理 平台 文 
持 威胁 可 视 化 ,提供 覆盖 云 平 台 多 层 的 漏洞 攻击 、 东 西向 流量 .违规 告警 等 多 维度 的 可 视 
化 展示 ,提供 更 高 效 的 云 平台 管控 。 


112 ， 云 安全 知 理 平台 架构 


云 安全 管理 平台 以 云 安 全 资源 池 为 基础 ,构建 可 弹性 扩展 的 综合 云 安 全 防护 体系 。 
该 平台 以 数据 驱动 为 核心 ,深入 云 计算 内 部 ,全 面 覆 盖 云 计算 中 的 网 络 层 .主机 层 .应 用 层 
以 及 数据 层 防 护 , 具 有 云 计算 环境 下 安全 即 服务 (SaaS) 的 特点 ,并 且 满 足 快速 部 车、 安全 
可 徘 、 专 业 服 务 的 安全 需求 。 

云 安全 管理 平台 采用 SOA 架构 分 层 设 计 , 构 建 基 于 云 安 全 资源 池 的 云 安全 解决 方 
案 和 安全 模块 虚拟 化 ,并 且 租 户 可 根据 自身 业务 以 及 场景 需求 ,构建 相应 的 立体 纵深 安全 
防御 体系 。 云 安全 管理 平台 架构 如 图 11-1 所 示 。 

从 图 11-1 可 以 看 出 , 云 安全 管理 平台 主要 包括 上 月 服务 门户 . 运 维 管理 中 心 、. 运 营 监 控 
中 心 ,安全 服务 以 及 安全 资源 5 个 部 分 。 


1. 自 服务 门户 

云 安 全 管理 平台 为 租户 提供 基于 云 安 全 的 上 月 服务 门户 。 租 户 可 以 根据 目 身 业务 以 及 
场景 需求 ,快速 便捷 地 进行 安全 组 件 的 购买 、 续 费 、 扩 容 、 策 略 管理 等 操作 。 目 服务 门户 具 
有 按 需 使 用 .快速 部 署 、 安 全 可 徘 、 专业 服务 等 特 点 。 

2. 运 维 管理 中 心 

云 安 全 管理 平台 为 运 维 人 员 提 供 运 维 管理 中 心 ,主要 包括 资源 池 管 理 \ 租 户 管理 ,日 
志 管 理 . 计 量 计 费 管理 ,权限 管理 风险 管理 以 及 其 他 管理 功能 。 该 模块 为 运 维 人 员 提 供 
云 平 台 安 全 态势 .NFV (Network Function Virtualization, 网络 功能 虚拟 化 ) 安 全 组 件 状 
人 态 、 租 户 购 买 订 单 情况 ,授权 使 用 情况 等 信 


运营 监控 中 心 
营 监控 中 心 主要 包括 云 平 台 安 全 监控 以 及 云 租户 安全 监控 两 部 分 ,主要 用 于 结果 
gence 
4. 安全 服务 


云 安全 管理 平台 在 提供 主机 安全 服务 的 基础 上 ,增加 东西 向 安全 服务 以 及 南北 问安 
全 服务 ,提供 全 方位 的 安全 防护 措施 。 其 中 ,主机 安全 服务 包括 主机 杀毒 ,主机 加 固 、 
Hypervisor 加 固 以 及 WebShell 检测 ,东西 向 安全 服务 包括 HFW(Host Firewall ,主机 防 
火 墙 ) 以 及 HIPS(Host-based Intrusion Prevention System, 基 于 主机 的 入 侵 防 御 系 统 )， 
南北 向 安全 服务 包括 基础 安全 服务 、 增 值 安全 服务 、Web 安全 服务 以 及 审计 安全 服务 。 

5. 安全 资源 

云 安全 管理 平台 包含 众多 安全 资源 ,主要 包括 VPN、 入 侵 防 御 、 防 病毒 、 保 爸 机 、 网 页 
防臭 改 、 防 火 墙 ,Web 防护 、 抗 DDoS 攻击 数据库 审计 、 云 尊 安 全 等 安全 指 施 。 
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云 计算 及 云 安 全 
11.3 云 安全 管理 平台 功能 


云 安 全 管理 平台 为 解决 云 安全 问题 ,具有 一 系列 相应 的 核心 功能 。 从 用 户 角 度 来 看 ， 
主要 有 模块 化 .多 租户 服务 . 目 助 服务 以 及 安全 策略 配置 等 功能 ;从 管理 员 角 度 来 看 ,主要 
有 管理 员 权 限 隅 离 、. 安 全 事件 分 析 以 及 实时 获取 网 络 安全 信息 等 功能 。 下 面 对 上 述 7 个 
核心 功能 进行 详细 介绍 。 


1. 模块 化 功能 

云 安全 管理 平台 为 云 租 户 提供 了 了 VPN、 入侵 防 御 、 防 病毒 ,防火 墙 \ 主 机 安全 等 常用 
的 安全 服务 ,各 功能 部 件 以 模块 化 方式 部 闭 , 云 租户 可 根据 实际 业务 需求 和 应 用 场景 进行 
安全 组 件 的 选择 ,具有 架构 人 简单 .多 于 扩展 等 特点 。 所 有 安全 设备 部 以 容 磊 的 形式 部 营 在 
安全 资源 池 中 ,设备 的 创建 ,许可 激活 、 删 际 均 由 云 安全 管理 平台 统一 实现 ,不 同 租 尸 的 安 
全 设备 通过 虚拟 网 络 进行 隔离 ,虚拟 设备 可 通过 浮动 IP 地 址 与 外 部 网 络 进行 通信 。 


2. 多 租户 服务 功能 

云 安 全 管理 平台 满足 云 内 多 租户 的 管理 需求 ,平台 中 的 租户 构成 一 个 虚拟 的 组 织 , 它 
包含 了 一 组 安全 服务 ,并 且 可 以 对 安全 服务 的 对 象 和 安全 策略 进行 管理 多 租户 服务 。 具 
有 有 目 服 务 .透明 部 署 .资源 隅 离 .用 量 可 追 蹊 、 统 一 日 志和 存储 的 特点 。 

其 中 , 目 服 务 指 每 个 租户 都 可 以 根据 自身 业务 系统 的 特点 和 安全 级 别 选择 特定 的 安 
全 服务 ,上 所 有 安全 策略 由 租户 日 行 省 理 ;透明 部 署 表现 为 云 安 全 省 理 平台 将 防火 墙 、IPS、 
防 病毒 等 安全 设备 虚拟 化 并 进行 统一 部 署 , 撒 层 设 备 安 冯 和 实现 对 用 户 透 明 , 用 户 只 需 使 
用 即 可 ;资源 隅 离 指 不 同 租户 间 通 过 安全 资源 池内 的 虚拟 网 络 进行 隔离 ,不 同 租户 可 以 部 
署 不 同 的 安全 设备 ,只 需 分 配 一 个 浮动 IP 地 址 用 于 外 部 通信 ;用 量 可 追踪 表现 为 可 对 每 
个 租户 的 用 量 进行 追踪 ,包括 安全 设备 的 申请 ,扩容 以 及 续费 ;统一 日 志和 存储 指 租户 所 有 
安全 设备 的 告警 和 日 志 均 由 云 安 全 管理 平台 统一 收集 和 存储 ,并 发 布 相应 的 告警 和 通知 。 


3. 自助 服务 功能 

云 安 全 管理 平台 实现 从 用 户 资 源 的 申请 .审批 到 分 配 部 署 的 流程 化 。 租 户 通过 管理 
平台 提供 的 管理 门户 提交 安全 设备 申请 , 待 管理 员 审 批 后 ,资源 就 会 出 现在 用 户 的 资源 列 
表 之 中 。 

用 户 可 根据 自身 的 业务 需求 自行 申请 安全 服务 。 云 安全 管理 平台 支持 对 租户 安全 设 
备 运行 状态 .授权 数量 等 方面 的 统计 ,并 按期 分 租户 统计 用 量 , 形 成 用 量 记 录 和 相关 报告 ， 


4. 安全 末了 略 配 置 功能 
云 应 用 安全 涉及 终端 安全 .网络 安 全 .应 用 安全 等 各 个 层面 ,对 应 的 安全 防护 技术 包 
括 防 火场 `.VPN 、IPS 等 。 云 安全 管理 平台 文 持 对 这 些 设备 的 配置 和 管理 ,用 户 可 在 云 安 
全 管理 平台 上 进行 相应 安全 设备 的 配置 。 用 户 在 配置 过 程 中 通过 集中 部 署 各 部 件 的 安全 
防护 策略 实现 设备 的 管理 ,从 而 硝 傈 网 络 安全 策略 的 统一 ,提高 安全 管理 工作 效率 。 
138 


5. 管理 员 权 限 隔 离 功 能 

云 安 全 管理 平台 采用 管理 员 权 限 隅 离 机 制 ,将 超级 用 户 特 权 集 划分 为 系统 管理 员 ` 安 
全 管理 员 以 及 审计 管理 员 。 在 此 机 制 下 ,安全 管理 软件 在 实现 系统 管理 .安全 管理 和 审计 
管理 功能 的 同时 ,保证 了 管理 员 权 限 的 有 效 隅 离 。 

6. 安全 事件 分 析 功 能 

云 安 全 管理 平台 在 全 面 采集 安全 事件 的 基础 上 ,对 安全 事件 的 类 型 .威胁 严重 性 、 受 
攻击 最 多 的 目标 、 受 攻击 最 多 的 租户 等 信息 进行 统计 分 析 , 从 而 为 系统 的 安全 事件 审计 和 
安全 风险 状态 提供 更 准确 的 决策 文 持 。 


7. 实时 获取 网 络 安全 信息 功能 

用 户 在 网 络 的 不 同 层次 ,不同 节 点 部 署 安 全 部 件 , 实 现 全 方位 的 安全 防御 作用 。 为 了 
实时 全面 地 获取 网 络 安 全 信息 ,管理 员 需 要 监控 网 络 中 每 个 设备 的 运行 状态 ,为 网 络 安 
全 分 析 与 决策 提供 支持 。 而 云 安全 管理 平台 通过 开放 协议 采集 来 自 不 同 部 件 的 安全 事件 
数据 ,如 流量 记录 、Web 攻击 时 间 、 异 常 登 录 时 间 ,漏洞 检测 时 间 .病毒 攻击 时 间 、 异 第 时 
间 等 , 玫 助 管理 员 实 时 掌握 网 络 中 各 部 件 的 安全 状态 ,从 而 为 进一步 深入 分 析 和 决策 芮 定 
准确 的 数据 基础 。 
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云 安 全 管理 平台 则 在 为 用 户 在 云 环 境 中 构建 一 个 可 运营 、 可 增值 的 服务 平台 。 它 依 
赖 于 对 安全 资源 的 统一 调度 和 管理 ,需要 实现 安全 设备 创建 ,激活 、 配 置 、 删 除 全 生命 周期 
的 管理 ,同时 为 云 计 算 用 户 提供 租户 管理 .日 志 管 理 . 自 助 服务 等 功能 。 

本 章 首 先 对 云 安 全 管理 平台 的 基本 概念 进行 了 详细 阐述; 接着 介绍 了 云 安 全 管理 平 
台 染 构 , 对 云 安 全 管理 平台 架构 中 的 5 个 部 分 进行 了 话 细 介绍 ,包括 目 服 务 门 户 、 运 维 管 
理 中 心 .运营 监控 中 心 .安全 服务 以 及 安全 资源 :最 后 介绍 了 云 安 全 管理 平台 的 7 个 核心 
功能 ,分别 为 模块 化 .多 租户 服务 .自助 服务 .安全 策略 配置 .管理 员 权 限 隔 离 .安全 事件 分 
析 和 实时 获取 网 络 安全 信息 。 


11.5 思考 题 


(1) 什么 是 云 安全 管理 平台 ? 


(2) 云 安 全 管理 平台 架构 主要 分 为 哪 5 个 部 分 ? 
(3) 云 安 全 管理 平台 架构 中 运 维 管理 中 心 的 主要 作用 是 什么 ? 
(4) 


述 云 安 全 管理 平台 的 7 个 核心 功能 。 
述 


人 
El 
(5) 简 述 云 安 全 管理 平台 多 租户 服务 的 5 个 特点 。 
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12 某 省 电子 政务 云 


12.1.1 应 用 背景 


随 者 我 国 各 级 政府 逐 潮 加 公共 服务 型 转变 ,民生 问题 越 来 越 受 到 重视 。 电 子 政 务 云 
(E-government cloud) 是 一 种 高 效 、 便 捷 地 处 理 民生 问题 及 各 类 公共 事务 的 技术 手段 。 
电子 政务 云 利 用 云 计算 拉 术 对 政府 管理 和 服务 职能 进行 精简 、 优 化、 整合 ,并 通过 信息 化 
手段 在 政务 上 实现 各 种 业务 流程 办 理 和 职能 服务 ,大 大 提高 了 政府 的 服务 效率 和 服务 能 
力 。 国 家 也 很 重视 电子 商务 云 的 发 展 ,国家 发 展 和 改 平 委员 会 发 布 的 (关于 加 强 和 完善 国 
家 电子 政务 工程 建设 管理 的 意见 ) 中 特别 指出 ,要 “推进 新 技术 在 电子 政务 项 目 中 的 应 用 。 
臻 励 在 电子 政务 项 目 中 采用 物 联 网 . 云 计算 .大 数据 、 下 一 代 互 联网 .绿色 万 能 、 模拟 仿真 
等 新 技术 ,推动 新 技术 在 电子 政务 项 目 建 设 中 的 广泛 应 用 ”, 并 且 强 调 要 保障 电子 政务 项 
目 安 全 可 控 。 

菏 省 电子 政务 云 啊 应 国家 号 如 ,依托 本 省 电子 政务 外 网 和 互联 网 运行 ,按照 国家 信息 
安全 等 级 保护 第 三 级 标准 建设 ,建立 了 全 省 统一 的 政务 云 监管 平台 ,省 市 两 级 政务 云 平 
台 \、 云 灾 备 平台 、 政 务 数据 共 至 交换 平台 以 及 在 用 或 在 建 的 省 级 部 门 政 务 云 分 平台 ,以 文 
择 各 政府 部 门 业 务 应 用 发 展 ,实现 政务 云 与 各 级 政府 部 门 之 间 的 资源 共 孚 数据 交换 和 服 
务 协同 ,推动 电子 政务 明 集 约 、 高效 .安全 和 服务 方 癌 发 展 。 


12.1.2 ”需求 分 析 


随 着 电子 政务 系统 的 建设 ,政府 机 关 投 入 巨 资 采 购 大 量 硬件 设备 ,建设 多 个 应 用 系 
统 , 但 是 随 之 而 来 的 是 设备 资源 利用 率 低 .重复 建设 严重 .信息 系 统 运 维 难 .人工 成 本 和 资 
源 消 耗 巨 大 等 问题 。 针 对 以 上 问题 ,该 省 政府 结合 云 计 算 、 虚 拟 化 .SND(Software 
Defined Network ,软件 定义 网 络 ) 等 技术 ,计划 统一 构建 电子 政务 云 平 台 ,将 计算 资源 、 网 
络 资 源 池 化 ,实现 资源 的 弹性 服务 和 按 需 服务 ,建设 安全 ,稳定 的 运营 体系 ,明确 责任 边界 
划分 问题 (如 图 12-1)。 

通过 分 析 该 省 电子 政务 现状 ,对 该 省 电子 政务 云 主 要 提出 以 下 3 方面 的 需求 : 

(1) 通过 云 管理 平台 实现 统一 的 管理 和 监控 。 目 前 各 级 政府 大 多 围绕 各 项 业务 开发 
或 引进 不 同 的 应 用 系统 ,这些 分 散 的 系统 在 建立 时 没有 考虑 统一 的 数据 标准 和 信息 共享 
问题 ,因此 需要 通过 电子 政务 云 建 立 的 云 安全 管理 平台 对 各 项 业务 组 件 进行 统一 管理 和 
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调度 ,推动 信息 资源 整合 ,满足 政务 资源 共 圣 的 需求 。 

(2) 提高 服务 灵活 性 .可 扩展 性 。 随 着 社会 的 快速 发 展 和 服务 型 政府 建设 的 不 断 推 
进 , 公 众 ` 企 业 和 社会 对 政府 的 要 求 不 断 改 变 ,政府 部 门 需要 能 够 提供 灵活 多 变 的 政务 服 
务 ,满足 政府 职能 转变 ,行政 审批 制度 改革 和 政务 公开 的 需求 ,推动 服务 创新 ,提升 政府 工 
作 的 服务 效率 和 服务 水 平 。 

(3) 保证 电子 政务 云 的 安全 性 。 与 普通 企业 相 比 ,电子 政务 云 对 平台 安全 的 要 求 更 
高 ,一 旦 平台 遭受 恶意 攻击 导致 信息 泄露 ,政府 部 门 的 公信 力 将 大 大 下 降 , 影 啊 严 重 。 因 
此 ,电子 政务 云 平 台 应 当 可 以 动态 .快速 生成 安全 组 件 虚 拟 机 实例 ,具备 多 种 安全 防护 能 
力 , 例 如 主机 防护 能 力 、 东 西 问 防护 能 力 、 南北 加 防护 能 力 等 ,从 而 保 隐 电子 政务 云 不 同业 
务 的 安全 动态 防护 需求 。 


12.1.3 解决 方案 及 优 劳 


依据 电子 政务 三 级 防护 标准 ,电子 政务 云 安全 管理 平台 通过 在 标准 x86 服务 右上 部 
普 安 全 云 环境 实现 撒 层 便 件 资源 的 复 用 。 云 安全 管理 平台 统一 管理 部 闭 在 安全 珊 源 池内 
的 各 种 安全 设备 ,并 面 回 云 计 算 的 租户 和 管理 员 提 供 租 户 管理 .月 服务 .订单 审批 、. 安 全 案 
略 配置 等 功能 ,未 省 电子 政务 云 安 全 方案 的 部 普 示 意图 如 图 12-1 所 示 。 

该 云 安全 管理 平台 可 以 很 好 地 满足 菏 省 电子 政务 云 不 同业 务 防 护 的 需求 ,实现 立体 
化 的 防护 体系 ,包括 政务 云 内 主机 防护 、 东西 问 防 护 和 南北 同 防 护 , 成 功 防 御 了 各 种 安全 
威胁 ,满足 云 安 全 合 规 要 求 ,明确 了 云 安 全 页 任 边 者 ,为 和 省 电子 政务 云 构 建 了 稳定 的 安 
全 防护 体系 。 


12.2 本 章 小 结 


随 着 云 计算 的 发 展 , 越 来 越 多 的 行业 和 部 门 需要 部 署 云 .应 用 云 。 云 安全 建设 是 一 个 
系统 化 的 大 型 工程 ,其 安全 ,持续 、 有 效 的 运行 需要 由 一 个 统一 管理 .操作 简单 的 服务 平台 
来 保障 , 云 安全 管理 平台 在 云 安全 建设 中 起 着 至 关 重 要 的 作用 。 本 章 主要 介绍 了 典型 案 
例 一 一 某 省 电子 政务 云 ,首先 阐述 了 云 安 全 管理 平台 的 应 用 背景 ,其 次 结合 应 用 背景 分 析 
了 云 安 全 管理 平台 应 具备 的 功能 ,最 后 提出 了 解决 方案 并 分 析 了 方案 的 优势 ,明确 了 云 安 
全 管理 平台 的 作用 以 及 它 在 云 计算 环境 中 的 重要 性 。 


12.3 思考 题 


简 述 电子 政务 云 安 全 解决 方案 。 
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天 文 缩 上 略语 


ABE Attribute-Based Encryption 基于 属性 的 加 密 机 制 

ACL Access Control List 访问 控制 列表 

ACM Access Control Matrix 访问 控制 矩阵 

API Application Programming Interface 应 用 程序 编程 接口 

APT Advanced Persistent Threat 高 级 持续 性 威胁 

CB Controlling Bridge 控制 桥 

CC Challenge Collapsar 挑战 黑洞 

CCM Cloud Controls Matrix 云 控制 宅 阵 

CCSA China Communication Standards Association 中 国 通信 标准 协会 
CCSM Cloud Certification Schemes Metaframework 云 认 证 计划 初步 框 哥 
CSA _ Cloud Security Alliance 云 安全 联盟 

DAC Discretionary Access Control 自主 访问 控制 

DDoS Distributed Denial of Service 分 布 式 拒绝 服务 

DMTF Distributed Management Task Force 分 布 式 管理 任务 组 

DMZ Demilitarized Zone 非 军事 化 区 

DoS Denial of Service 拒绝 服务 

EBS Elastic Block Store 弹性 块 存储 

EC2 Elastic Compute Cloud 弹性 云 计 算 

ECC Ellipse Curve Cryptography 椭圆 曲线 密码 

ENISA European Network and Information Security Agency 欧洲 网 络 与 信息 安全 局 
EVB Edge Virtual Bridging 边缘 虚拟 桥接 

FCIP Fibre Channel over IP 基于 JIP 的 光纤 通道 

FDC Floppy Disk Controller 软盘 控制 器 

FG Cloud Focus Group on Cloud Computing 云 计 算 焦 点 组 

HFW Host Firewall 主机 防火 墙 

HIPS Hostbased Intrusion Prevention System 基于 主机 的 入侵 防御 系统 
IaaS Infrastructure as a Service 基础 设施 即 服 务 

IDC Internet Data Center 互联 网 数据 中 心 

IDS Intrusion Detection System 人 侵 检 测 系 统 

IEC International Electrotechnical Commission 国际 电工 委员 会 

iFCP Internet Fibre Channel Protocol Internet 光纤 信道 协议 

IPS Intrusion Prevention System 人 侵 防 御 系 统 

iSCSI Internet Small Computer System Interface Internet 小 型 计算 机 系统 接口 
ISMS Information Security Management System 信息 安全 管理 体系 

ISO International Organization for Standardization 国际 标准 化 组 织 

ITSS _ Information Technology Service Standards 信息 技术 服务 标准 
ITU-T International Telecommunication Union-Telecommunication Standardization Sector 国际 电信 


联盟 远程 通信 标准 化 组 织 


云 计算 及 云 安 全 


KVM Kernel-based Virtual Machine 基于 内 核 的 虚拟 机 

LUN Logical Unit Number 逻辑 单元 号 

NIST National Institute of Standards and Technology 美国 国家 标准 与 技术 研究 院 
NSA ”National Security Agency 美国 国家 安全 局 

OAuth Open Authorization 开放 授权 

OSI Open System Interconnection 开放 式 系统 互 连 

OT Oblivious Transfer 不 经 意 传 输 

OWASP Open Web Application Security Project 开放 式 Web 应 用 程序 安全 项 日 
PaaS Platform as a Service 平台 即 服务 

PE Port Extender 纵向 扩展 设备 

RAID Redundant Arrays of Inexpensive Disk 廉价 磁盘 宛 余 阵列 
RBAC Role-Based Access Control 基于 角色 的 访问 控制 

RPO Recovery Point Objective 恢复 点 目标 

RTO Recovery Time Objective 恢复 时 间 目 标 

SaaS Software as a Service 软件 即 服务 

SAMI. Security Assertion Markup Language 安全 鉴别 标记 语言 
SDLC Software Development Life Cycle 软件 开发 生命 周期 

SDN Software Defined Network ”软件 定义 网 络 

SIOM Secure I//O 〇 Management 安全 了 IO 管理 

SLA Service-Level Agreement 服务 等 级 协议 

SMM Secure Memory Management 安全 内 存 管 理 

SSL Security Socket Layer 安全套 接 层 

TCB Trusted Computing Base 可 信 计 算 基 

TCP Transmission Control Protocol 传输 控制 协议 

TPM TTrusted Platform Module 可 依 平 人 台 模 块 

UDP User Datagram Protocol 用 户 数 据 报 协议 

URIL Uniform Resource Locator 统一 资源 定位 符 

VEPA Virtual Ethernet Port Aggregator 虚拟 以 太 网 端口 汇聚 间 
VLAN Virtual Local Area Network 虚拟 局 域 网 

VM Virtual Machine 虚拟 机 

VMBR Virtual Machine Based Rootkit 基于 虚拟 机 的 Rootkits 攻击 
VMM Virtual Machine Monitor 所 机 监视 桥 

VPN Virtual Private Network ”虚拟 专用 网 

VRRP Virtual Router Redundancy Protocol 虚拟 路 由 大作 协议 
WLAN Wireless Local Area Network 无 线 局 域 网 

XaaS Anything as a Service ”一切 和 服务 

XRDS eXtensible Resource Descriptor Sequence 可 扩展 资源 描述 符 厅 列 
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感谢 您 一 直 以 来 对 清华 版 图 书 的 文 持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 资产 ,有 需求 的 读者 博 扫 拍 下 方 的 书 圈 人 彼 信 公众 号 二 维 码 ,在 图 
书 专区 下 载 , 也 可 以 拨打 电 垣 或 发 送 电子 邮件 咨询 。 

如 果 和 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相 天 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 


el i i ge er me i i i i et en i er me -= me ee mr a ot Le i er et a i mr mr i a me me es et i i mr i Tr WW Te 


资源 下 载 、 样 书 中 请 


我 们 的 联系 万 式 : 
地 “起 :北京 市 海 证 区 双 靖 路 学 赋 大 厦 A 座 701 书 图 


邮 编 : 100084 


电 坷 : 010-83470236 010-83470237 


le a 


资源 下 载 : http://www. tup. com. cn 


客服 邮箱 : 2301891038@qq.com 


QQ: 2301891038 ( 请 写 明 您 的 单位 和 姓名 ) 


课程 直播 
用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社会 众 号 书 图 。 


